パッケージを通常のパッケージストアにアップロードしないのはなぜですか?これは一般的な慣行ですか?他のディストリビューションもリポジトリを分離しますか?
ベストアンサー1
Debian には、管理者が信頼できるシステムを実行するために最小限の変更のみを行うことを選択できるように、セキュリティ更新プログラムのみを提供する展開チャネルがあります。また、この配信チャネルは通常のチャネルとは多少分離されています。すべてのセキュリティ更新プログラムは以下から直接送信されます。security.debian.org
、他のすべての場合は、ミラーを使用することをお勧めします。ここには多くの利点があります。 (Debianメーリングリストで読んだことがどれが正式な動機だったのか、どれが私自身の小さな分析なのか覚えていません。Debian Security FAQ.)
- セキュリティ更新プログラムは、画像の更新のために遅延なく即座に伝播されます(伝播時間に約1日追加)。
- ミラーは古いかもしれません。直接割り当てを使用すると、この問題を回避できます。
- 重要なサービスで維持する必要があるインフラストラクチャが削減されます。ほとんどのDebianサーバーが利用できず、人々が新しいパッケージをインストールできない場合でも、機能している
security.debian.org
サーバーを指すだけでセキュリティ更新プログラムを展開できます。 - ミラーが損傷する可能性があります(過去にもこれが発生しました)。単一の配布ポイントを監視する方が簡単です。攻撃者がどこかに悪意のあるパッケージをアップロードすると、
security.debian.org
更新されたバージョン番号のパッケージがプッシュされる可能性があります。悪用の性質と対応の適時性によっては、一部のコンピュータが感染するのを防ぐか、少なくとも管理者に警告するのに十分です。 - アップロード権限を持つ人が少ない
security.debian.org
。これは、攻撃者が悪意のあるパッケージを挿入するためにアカウントやシステムを損傷する可能性を制限します。 - 一般的なWebアクセスを必要としないサーバーは、パススルー専用ファイアウォールの
security.debian.org
後ろに残ることがあります。