কেন দেবিয়ান সুরক্ষা আপডেটের জন্য আলাদা প্যাকেজ সংগ্রহস্থল রয়েছে?


18

কেন তারা সাধারণ প্যাকেজ সংগ্রহস্থলে প্যাকেজ আপলোড করে না? এটি কি কোনও সাধারণ সম্মেলন (IE, অন্যান্য ডিস্ট্রসগুলিও ভাণ্ডারগুলিকে পৃথক করে)?


আমি অন্য ডিস্ট্রো না থাকার পরামর্শ দিচ্ছি যা সম্ভবত অতিরিক্ত দীর্ঘ হতে পারে, আপনার সংরক্ষণাগার দ্বারা প্যাকেজ রেপো বলতে কী বোঝায়? আমি অনুমান করছি আপনি করছেন, তবে নিশ্চিত হয়ে যাচ্ছেন যে আপনি কোনও এসএনএন / গিট শাখা বা কিছু না বোঝাচ্ছেন।
xenoterracide

উত্তর:


16

ডেবিয়ানের একটি বিতরণ চ্যানেল রয়েছে যা কেবলমাত্র সুরক্ষা আপডেট সরবরাহ করে যাতে প্রশাসকরা কেবলমাত্র সর্বনিম্ন পরিবর্তনগুলির সাথে একটি স্থিতিশীল সিস্টেম চালানো চয়ন করতে পারেন। অতিরিক্তভাবে, এই বিতরণ চ্যানেলটিকে সাধারণ চ্যানেল থেকে কিছুটা পৃথক রাখা হয়েছে: সমস্ত সুরক্ষা আপডেট সরাসরি থেকে খাওয়ানো হয় security.debian.org, অন্যদিকে সমস্ত কিছুর জন্য মিরর ব্যবহার করার পরামর্শ দেওয়া হয়। এর অনেকগুলি সুবিধা রয়েছে। (আমি মনে করি না এর মধ্যে কোনটি সরকারী অনুপ্রেরণা যা আমি দেবিয়ান মেইলিং তালিকায় পড়েছি এবং এটি আমার নিজের ক্ষুদ্র বিশ্লেষণ। এগুলির কয়েকটি দেবিয়ান সুরক্ষা এফএকিউতে স্পর্শ করা হয়েছে ))

  • সুরক্ষা আপডেটগুলি মিরর আপডেটগুলি (যা প্রচারের প্রায় 1 দিন যোগ করতে পারে) দ্বারা দেরি না করে অবিলম্বে ছড়িয়ে পড়ে।
  • আয়না বাসি যেতে পারে। সরাসরি বিতরণ সমস্যাটি এড়ানো হয়।
  • সমালোচনামূলক পরিষেবা হিসাবে বজায় রাখার জন্য কম অবকাঠামো রয়েছে। এমনকি যদি ডেবিয়ানের বেশিরভাগ সার্ভারগুলি অনুপলব্ধ থাকে এবং লোকেরা নতুন প্যাকেজ ইনস্টল করতে না পারে, যতক্ষণ security.debian.orgকোনও ওয়ার্কিং সার্ভারে পয়েন্ট থাকে, সুরক্ষা আপডেটগুলি বিতরণ করা যায়।
  • আয়নাগুলি আপোস করা যেতে পারে (এটি আগেও হয়েছিল)। একটি একক বিতরণ পয়েন্ট দেখা সহজ। যদি কোনও আক্রমণকারী কোথাও দূষিত প্যাকেজ আপলোড করতে পরিচালিত হয় security.debian.orgতবে সাম্প্রতিক সংস্করণ নম্বর সহ একটি প্যাকেজটিকে ধাক্কা দিতে পারে। শোষণের প্রকৃতি এবং প্রতিক্রিয়ার সময়োপযোগিতার উপর নির্ভর করে কিছু মেশিনকে নিরবচ্ছিন্ন রাখতে বা কমপক্ষে প্রশাসকদের সতর্ক করার জন্য এটি যথেষ্ট হতে পারে।
  • খুব কম লোকের উপরই আপলোডের অধিকার রয়েছে security.debian.org। এটি কোনও আক্রমণাত্মক কোনও দূষিত প্যাকেজ ইনজেকশন করার জন্য কোনও অ্যাকাউন্ট বা মেশিন বিকল করার চেষ্টা করার সম্ভাবনাগুলিকে সীমিত করে।
  • যে সার্ভারগুলিতে সাধারণ ওয়েব অ্যাক্সেসের প্রয়োজন হয় না তাদের ফায়ারওয়ালের পিছনে রাখা যেতে পারে যা কেবলমাত্র তার security.debian.orgমাধ্যমে অনুমতি দেয় ।

2
সুরক্ষা রেপো প্রাক-তারিখগুলি রিপোজিটরিগুলির জন্য মুক্তির ফাইলগুলিতে স্বাক্ষর করে, তাই এটি মিরর করা নিরুৎসাহিত করা হয়েছিল, কারণ এটি সুরক্ষা.ডিবিয়ান.org থেকে ডাউনলোড করার নিখুঁত বিশ্বাসকে দুর্বল করে দেয়। সেই তর্কটি এখন কিছুটা সরে গেছে যে প্যাকেজ মেটাডেটা স্বাক্ষরিত।
jmtd

হোস্ট security.debian.orgএকাধিক ঠিকানার সমাধান করে, তাই এটি প্রযুক্তিগতভাবে আয়না না থাকলেও এটি মেশিনগুলির একটি পুল।
ফাহিম মিঠা

8

আমি নিশ্চিত যে দেবিয়ান নিয়মিত রেপোতেও সুরক্ষা আপডেট রাখে।

একটি পৃথক রেপো রাখার কারণ যাতে কেবল সুরক্ষা আপডেট থাকে তাই আপনি কোনও সার্ভার সেট আপ করতে পারেন, কেবল এটি সুরক্ষা রেপোতে নির্দেশ করতে পারেন এবং আপডেটগুলি স্বয়ংক্রিয় করতে পারেন। এখন আপনি এমন একটি সার্ভার পেয়ে গেছেন যা বেমানান সংস্করণ ইত্যাদির কারণে ঘটনাক্রমে বাগ প্রবর্তন না করে সর্বশেষ সুরক্ষা প্যাচগুলির গ্যারান্টিযুক্ত is

আমি নিশ্চিত নই যে এই সঠিক প্রক্রিয়াটি অন্যান্য ডিস্ট্রোদের দ্বারা ব্যবহৃত হয়। yumসেন্টোসের জন্য এই ধরণের জিনিস পরিচালনা করার জন্য একটি প্লাগইন রয়েছে এবং জেন্টুর কাছে বর্তমানে একটি সুরক্ষা মেলিং তালিকা রয়েছে ( portageবর্তমানে কেবলমাত্র সুরক্ষা-কেবল আপডেটগুলি সমর্থন করার জন্য এটি পরিবর্তন করা হচ্ছে)) ফ্রিবিএসডি এবং নেটবিএসডি উভয়ই ইনস্টলড পোর্ট / প্যাকেজগুলির সুরক্ষা অডিট করার উপায় সরবরাহ করে, যা বিল্ট-ইন আপডেট পদ্ধতির সাথে ভালভাবে সংহত করে। সমস্তই বলেছিল, ডিবিয়ান এর পদ্ধতির (এবং সম্ভবত উবুন্টু, যেহেতু তারা এতটা নিবিড়ভাবে সম্পর্কিত) এই সমস্যার সমাধানের অন্যতম স্মার্ট সমাধান।


হ্যাঁ কারণ একটি সুরক্ষা প্যাচ সম্ভবত অন্য কোনও বাগটি প্রবর্তন করতে পারে নি।
xenoterracide

"s। এখন আপনি এমন একটি সার্ভার পেয়ে গেছেন যা দুর্ঘটনাক্রমে অসম্পূর্ণ সংস্করণ ইত্যাদির কারণে বাগগুলি প্রবর্তন না করে সর্বশেষতম সুরক্ষা প্যাচগুলির গ্যারান্টিযুক্ত" " তার মানে কি তাই না? আমি মনে করি আমি বসতে পারি যে ইনকম্প্যাট সংস্করণগুলি তর্কযোগ্য বিন্দু ... এর অর্থ কী? ... বেশিরভাগ সময় যারা কেবলমাত্র সুরক্ষা প্যাচগুলি ব্যাকপোর্ট করেন তারা বেশিরভাগ সময়ই এটি করছেন না কারণ তারা মনে করেন যে এবিআই / এপিআই কেবল একমাত্র জিনিস তারা 'তাকিয়ে আছেন।
xenoterracide

@ এক্সেনো আপনি কি এই ভাণ্ডারগুলি বিভক্ত করার ধারণার সমালোচনা করছেন, বা কোনও গ্যারান্টি নেই তা আমাদের সতর্ক করছেন?
tshepang

1
@ এক্সেনো কীভাবে আপস্ট্রি জিনিসগুলি পরিচালনা করে, তার উপর নির্ভর করে বাগস্টিক্স প্যাচগুলি কোনও 'স্থিতিশীল' মুক্তির জন্য খুব অনুপ্রবেশকারী হতে পারে।
tshepang

3
সিকিউরিটি প্যাচগুলির বেশিরভাগ অংশ তুচ্ছভাবে ছোট: একটি মেমসেটে যুক্তিগুলিকে পুনরায় অর্ডার করা, একটি স্ট্রেনসিএমপিতে বা আপনার কাছে কী রয়েছে তার সীমা চেক ঠিক করে। অবশ্যই, তারা উদ্দীপনামূলকভাবে অন্যান্য বাগগুলি প্রবর্তন করতে পারে, তবে ঝুঁকিটি খুব সামান্য এবং তাত্ত্বিক, যেখানে আবিষ্কার করা সুরক্ষা বাগটি খুব কার্যকর much
jmtd

2

এটি দুটি জিনিস নিয়ে সহায়তা করে:

  1. সুরক্ষা - প্রথমে আপনার সুরক্ষা স্থির করে নিন, তারপরে বাকীটি আপডেট করার সময় আপনি কম ঝুঁকিতে পড়বেন
  2. সুরক্ষা আপডেটগুলি একটি উচ্চ সুরক্ষা স্তরে সংরক্ষণ করা উচিত, যেমন আপনি আপনার সিস্টেমের বাকি অংশগুলি রক্ষার জন্য তাদের উপর নির্ভর করেন, সুতরাং এটি হতে পারে যে এই রেপো সমঝোতা রোধ করতে আরও শক্তিশালী সুরক্ষা নিয়ন্ত্রণ রেখেছে

অন্যান্য কারণগুলিও থাকতে পারে তবে আমি দুটোই দরকারী বলে মনে করি


আপনি কি উচ্চ সুরক্ষা স্তরে সঞ্চিত সম্পর্কে নিশ্চিত ? আমি বলি কারণ আপনি সন্দেহ প্রকাশ করেছেন, হতে পারে
tshpang

ভালভাবে চিহ্নিত শেশেপাং - রেপো যে পরিবেশের মধ্যে রয়েছে তার দৃশ্যমানতা আমি পাইনি, তবে সেভাবেই আমি এটি স্থাপন করব :-)
ররি আলসপ

5
কমপক্ষে উচ্চতর সুরক্ষা স্তরের কিছু ফর্ম রয়েছে: কেবল সুরক্ষা দলই কোনও প্যাকেজটিকে এগিয়ে নিতে পারে security.debian.org । আমি বাস্তবায়ন বিশদ জানি না।
গিলস 'অসন্তুষ্ট হওয়া বন্ধ করুন'
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.