Perché esiste un repository di pacchetti separato per gli aggiornamenti di sicurezza di Debian?

Perché non caricano i pacchetti nel normale repository di pacchetti? È una convenzione generale (IE, anche altre distro separano i repository)?

Debian ha un canale di distribuzione che fornisce solo aggiornamenti di sicurezza in modo che gli amministratori possano scegliere di eseguire un sistema stabile con solo il minimo assoluto di modifiche. Inoltre, questo canale di distribuzione è in qualche modo separato dal canale normale: tutti gli aggiornamenti di sicurezza vengono alimentati direttamente security.debian.org, mentre si consiglia di utilizzare i mirror per tutto il resto. Questo ha una serie di vantaggi. (Non ricordo quali di queste sono le motivazioni ufficiali che ho letto sulle mailing list di Debian e quali sono le mie mini-analisi. Alcune di queste sono toccate nelle FAQ sulla sicurezza di Debian .)

• Gli aggiornamenti di sicurezza vengono diffusi immediatamente, senza il ritardo dovuto agli aggiornamenti del mirror (che possono aggiungere circa 1 giorno di propagazione).
• Gli specchi possono diventare stantii. La distribuzione diretta evita questo problema.
• C'è meno infrastruttura da mantenere come servizio critico. Anche se la maggior parte dei server Debian non sono disponibili e le persone non possono installare nuovi pacchetti, purché security.debian.orgpuntino a un server funzionante, gli aggiornamenti di sicurezza possono essere distribuiti.
• Gli specchi possono essere compromessi (questo è successo in passato). È più facile guardare un singolo punto di distribuzione. Se un utente malintenzionato è riuscito a caricare un pacchetto dannoso da qualche parte, security.debian.orgpotrebbe inviare un pacchetto con un numero di versione più recente. A seconda della natura dell'exploit e della tempestività della risposta, questo potrebbe essere sufficiente per mantenere alcune macchine non infette o almeno avvisare gli amministratori.
• Sempre meno persone hanno diritti di upload su security.debian.org. Ciò limita le possibilità per un utente malintenzionato di provare a sovvertire un account o una macchina per iniettare un pacchetto dannoso.
• I server che non necessitano di un normale accesso al web possono essere tenuti dietro un firewall che consente solo security.debian.orgattraverso.

Sono abbastanza sicuro che Debian inserisca anche gli aggiornamenti di sicurezza nel repository normale.

Il motivo per avere un repository separato che contiene solo aggiornamenti di sicurezza è che è possibile configurare un server, puntarlo solo sul repository di sicurezza e automatizzare gli aggiornamenti. Ora hai un server che è garantito per avere le ultime patch di sicurezza senza introdurre accidentalmente bug causati da versioni incompatibili, ecc.

Non sono sicuro che questo meccanismo esatto venga utilizzato da altre distro. C'è un yumplugin per gestire questo genere di cose per CentOS, e Gentoo attualmente ha una mailing list di sicurezza ( portageè attualmente in fase di modifica per supportare gli aggiornamenti solo della sicurezza). FreeBSD e NetBSD forniscono entrambi modi per eseguire controlli di sicurezza su porte / pacchetti installati, che si integrano bene con i meccanismi di aggiornamento integrati. Tutto sommato, l'approccio di Debian (e probabilmente quello di Ubuntu, dal momento che sono così strettamente correlati) è una delle soluzioni più semplici a questo problema.

Aiuta con due cose:

1. sicurezza: prima ottieni le tue correzioni di sicurezza, quindi sei a minor rischio durante l'aggiornamento del resto
2. gli aggiornamenti di sicurezza dovrebbero essere archiviati a un livello di sicurezza elevato, poiché si tende a fare affidamento su di essi per proteggere il resto del sistema, quindi è possibile che questo repository abbia controlli di sicurezza più forti per prevenire compromessi

potrebbero esserci altre ragioni, ma quelle sono le due che troverei utili