Debian 보안 업데이트에 별도의 패키지 저장소가 있는 이유는 무엇입니까?

Question 1

데비안에는 관리자가 안정적인 시스템을 실행하기 위해 최소한의 변경만 수행하도록 선택할 수 있도록 보안 업데이트만 제공하는 배포 채널이 있습니다. 또한 이 배포 채널은 일반 채널과 다소 분리되어 있습니다. 모든 보안 업데이트는 다음에서 직접 전송됩니다.security.debian.org, 그 밖의 모든 경우에는 거울을 사용하는 것이 좋습니다. 여기에는 많은 장점이 있습니다. (데비안 메일링 리스트에서 읽은 것이 어떤 것이 공식적인 동기였는지, 어떤 것이 내 자신의 작은 분석인지 기억이 나지 않습니다. 그 중 일부는 다음과 같습니다.데비안 보안 FAQ.)

보안 업데이트는 이미지 업데이트로 인해 지연 없이 즉시 전파됩니다(전파 시간에 약 1일 추가).
거울은 오래될 수 있습니다. 직접 할당을 사용하면 이 문제를 피할 수 있습니다.
중요한 서비스로 유지 관리해야 하는 인프라가 줄어듭니다. 대부분의 Debian 서버를 사용할 수 없고 사람들이 새 패키지를 설치할 수 없는 경우에도 security.debian.org작동하는 서버를 가리키기만 하면 보안 업데이트를 배포할 수 있습니다.
미러가 손상될 수 있습니다(과거에도 이런 일이 발생했습니다). 단일 배포 지점을 모니터링하는 것이 더 쉽습니다. 공격자가 어딘가에 악성 패키지를 업로드하는 경우 security.debian.org업데이트된 버전 번호의 패키지가 푸시될 수 있습니다. 악용의 성격과 대응의 적시성에 따라 이는 일부 컴퓨터가 감염되는 것을 방지하거나 적어도 관리자에게 경고하는 데 충분할 수 있습니다.
업로드 권한을 가진 사람이 적습니다 security.debian.org. 이는 공격자가 악성 패키지를 삽입하기 위해 계정이나 시스템을 손상시키려는 가능성을 제한합니다.
일반적인 웹 액세스가 필요하지 않은 서버는 security.debian.org통과 전용 방화벽 뒤에 남아 있을 수 있습니다.

Answer

데비안에는 관리자가 안정적인 시스템을 실행하기 위해 최소한의 변경만 수행하도록 선택할 수 있도록 보안 업데이트만 제공하는 배포 채널이 있습니다. 또한 이 배포 채널은 일반 채널과 다소 분리되어 있습니다. 모든 보안 업데이트는 다음에서 직접 전송됩니다.security.debian.org, 그 밖의 모든 경우에는 거울을 사용하는 것이 좋습니다. 여기에는 많은 장점이 있습니다. (데비안 메일링 리스트에서 읽은 것이 어떤 것이 공식적인 동기였는지, 어떤 것이 내 자신의 작은 분석인지 기억이 나지 않습니다. 그 중 일부는 다음과 같습니다.데비안 보안 FAQ.)

보안 업데이트는 이미지 업데이트로 인해 지연 없이 즉시 전파됩니다(전파 시간에 약 1일 추가).
거울은 오래될 수 있습니다. 직접 할당을 사용하면 이 문제를 피할 수 있습니다.
중요한 서비스로 유지 관리해야 하는 인프라가 줄어듭니다. 대부분의 Debian 서버를 사용할 수 없고 사람들이 새 패키지를 설치할 수 없는 경우에도 security.debian.org작동하는 서버를 가리키기만 하면 보안 업데이트를 배포할 수 있습니다.
미러가 손상될 수 있습니다(과거에도 이런 일이 발생했습니다). 단일 배포 지점을 모니터링하는 것이 더 쉽습니다. 공격자가 어딘가에 악성 패키지를 업로드하는 경우 security.debian.org업데이트된 버전 번호의 패키지가 푸시될 수 있습니다. 악용의 성격과 대응의 적시성에 따라 이는 일부 컴퓨터가 감염되는 것을 방지하거나 적어도 관리자에게 경고하는 데 충분할 수 있습니다.
업로드 권한을 가진 사람이 적습니다 security.debian.org. 이는 공격자가 악성 패키지를 삽입하기 위해 계정이나 시스템을 손상시키려는 가능성을 제한합니다.
일반적인 웹 액세스가 필요하지 않은 서버는 security.debian.org통과 전용 방화벽 뒤에 남아 있을 수 있습니다.

Question 2

나는 데비안이 일반 저장소에도 보안 업데이트를 추가한다고 확신합니다.

별도의 Repo를 갖는 이유는 다음과 같습니다.오직보안 업데이트가 포함되어 있어 서버가 보안 저장소만 가리키도록 설정하고 자동으로 업데이트되도록 할 수 있습니다. 이제 호환되지 않는 버전 등으로 인해 실수로 버그가 발생하지 않고 최신 보안 패치가 보장되는 서버가 있습니다.

다른 배포판에서도 이 정확한 메커니즘을 사용하는지 잘 모르겠습니다. CentOS에는 yum이런 종류의 일을 처리하는 플러그인이 있고 Gentoo에는 현재 보안 메일링 리스트가 있습니다( portage현재 보안 업데이트만 지원하도록 수정 중). FreeBSD와 NetBSD는 모두 내장된 업데이트 메커니즘과 잘 통합되는 설치된 포트/패키지의 보안 감사 방법을 제공합니다. 전체적으로 데비안의 접근 방식(그리고 밀접하게 관련되어 있기 때문에 우분투의 접근 방식일 수도 있음)은 이 문제에 대한 더 우아한 해결책 중 하나입니다.

Answer

나는 데비안이 일반 저장소에도 보안 업데이트를 추가한다고 확신합니다.

별도의 Repo를 갖는 이유는 다음과 같습니다.오직보안 업데이트가 포함되어 있어 서버가 보안 저장소만 가리키도록 설정하고 자동으로 업데이트되도록 할 수 있습니다. 이제 호환되지 않는 버전 등으로 인해 실수로 버그가 발생하지 않고 최신 보안 패치가 보장되는 서버가 있습니다.

다른 배포판에서도 이 정확한 메커니즘을 사용하는지 잘 모르겠습니다. CentOS에는 yum이런 종류의 일을 처리하는 플러그인이 있고 Gentoo에는 현재 보안 메일링 리스트가 있습니다( portage현재 보안 업데이트만 지원하도록 수정 중). FreeBSD와 NetBSD는 모두 내장된 업데이트 메커니즘과 잘 통합되는 설치된 포트/패키지의 보안 감사 방법을 제공합니다. 전체적으로 데비안의 접근 방식(그리고 밀접하게 관련되어 있기 때문에 우분투의 접근 방식일 수도 있음)은 이 문제에 대한 더 우아한 해결책 중 하나입니다.

Question 3

이는 두 가지에 도움이 됩니다:

보안 - 먼저 보안 수정사항을 얻은 후 위험을 최소화하면서 나머지 수정사항을 업데이트하세요.
보안 업데이트는 시스템의 나머지 부분을 보호하기 위해 보안 업데이트에 의존하는 경향이 있으므로 높은 보안 수준으로 저장해야 합니다. 그러면 리포지토리는 누출을 방지하기 위해 더 강력한 보안 제어를 가질 수 있습니다.

아마 다른 이유도 있겠지만 이 두 가지가 유용하다고 생각합니다.

Answer

이는 두 가지에 도움이 됩니다:

보안 - 먼저 보안 수정사항을 얻은 후 위험을 최소화하면서 나머지 수정사항을 업데이트하세요.
보안 업데이트는 시스템의 나머지 부분을 보호하기 위해 보안 업데이트에 의존하는 경향이 있으므로 높은 보안 수준으로 저장해야 합니다. 그러면 리포지토리는 누출을 방지하기 위해 더 강력한 보안 제어를 가질 수 있습니다.

아마 다른 이유도 있겠지만 이 두 가지가 유용하다고 생각합니다.

Question 4

데비안 보안 팀의 Salvatore Bonaccorso에 따르면(나에게 개인 이메일을 통해) 보안 아카이브를 구성하는 것은 권장되지 않으며 "안정적인 시스템을 실행하려면 최소한의 변경만 필요합니다". 예를 들어, 이 경우 Linux 커널을 새로운 안정 버전으로 리베이스할 수 없습니다.

또한 모든 보안 수정 사항이 일반 아카이브에 포함되지는 않습니다. 특정 아키텍처에 대해 빌드가 실패하는 경우도 있기 때문입니다. 이 경우 수정 사항은 일반 아카이브에 포함될 수 없지만 모든 아키텍처에 사용할 수 없더라도 보안 아카이브에는 계속 포함됩니다.

Salvatore Bonaccorso는 항상 일반 및 안전이라는 두 가지 유형의 아카이브를 활성화할 것을 권장합니다.

Answer

데비안 보안 팀의 Salvatore Bonaccorso에 따르면(나에게 개인 이메일을 통해) 보안 아카이브를 구성하는 것은 권장되지 않으며 "안정적인 시스템을 실행하려면 최소한의 변경만 필요합니다". 예를 들어, 이 경우 Linux 커널을 새로운 안정 버전으로 리베이스할 수 없습니다.

또한 모든 보안 수정 사항이 일반 아카이브에 포함되지는 않습니다. 특정 아키텍처에 대해 빌드가 실패하는 경우도 있기 때문입니다. 이 경우 수정 사항은 일반 아카이브에 포함될 수 없지만 모든 아키텍처에 사용할 수 없더라도 보안 아카이브에는 계속 포함됩니다.

Salvatore Bonaccorso는 항상 일반 및 안전이라는 두 가지 유형의 아카이브를 활성화할 것을 권장합니다.

Debian 보안 업데이트에 별도의 패키지 저장소가 있는 이유는 무엇입니까?

답변1

답변2

답변3

답변4

관련 정보