Почему существует отдельный репозиторий пакетов для обновлений безопасности Debian?

Почему они не загружают пакеты в обычный репозиторий пакетов? Это общее соглашение (IE, другие дистрибутивы также разделяют репозитории)?

В Debian есть канал распространения, который предоставляет только обновления для системы безопасности, чтобы администраторы могли выбрать для работы стабильную систему только с абсолютным минимумом изменений. Кроме того, этот канал распространения несколько отделен от обычного канала: все обновления безопасности передаются напрямую security.debian.org, тогда как для всего остального рекомендуется использовать зеркала. Это имеет ряд преимуществ. (Я не помню, какие из этих официальных мотивов я читаю в списках рассылки Debian, а какие - свой собственный мини-анализ. Некоторые из них затронуты в FAQ по безопасности Debian .)

• Обновления безопасности распространяются немедленно, без задержки, связанной с обновлениями зеркал (что может добавить около 1 дня времени распространения).
• Зеркала могут устареть. Прямое распространение позволяет избежать этой проблемы.
• Существует меньше инфраструктуры для обслуживания в качестве критически важной услуги. Даже если большинство серверов Debian недоступны и люди не могут устанавливать новые пакеты, пока они security.debian.orgуказывают на работающий сервер, обновления безопасности могут распространяться.
• Зеркала могут быть скомпрометированы (это случалось в прошлом). Проще наблюдать за одной точкой распространения. Если злоумышленнику security.debian.orgудастся загрузить вредоносный пакет куда-либо, он может отправить пакет с более новым номером версии. В зависимости от характера эксплойта и своевременности ответа этого может быть достаточно, чтобы некоторые компьютеры были незаражены или, по крайней мере, предупреждать администраторов.
• Меньше людей имеют права на загрузку security.debian.org. Это ограничивает возможности злоумышленника, пытающегося подорвать учетную запись или компьютер, чтобы внедрить вредоносный пакет.
• Серверы, которым не нужен обычный веб-доступ, могут быть защищены брандмауэром, который пропускает их только security.debian.org.

Я уверен, что Debian также помещает обновления безопасности в обычное хранилище.

Причина наличия отдельного репо, содержащего только обновления безопасности, заключается в том, что вы можете настроить сервер, указать только его на репо безопасности и автоматизировать обновления. Теперь у вас есть сервер, на котором гарантированно установлены самые последние исправления безопасности, без случайного появления ошибок, вызванных несовместимыми версиями и т. Д.

Я не уверен, что этот механизм используется другими дистрибутивами. Для yumCentOS существует плагин, позволяющий обрабатывать подобные вещи, и Gentoo в настоящее время имеет список рассылки по безопасности ( portageв настоящее время он модифицирован для поддержки обновлений только для безопасности). FreeBSD и NetBSD предоставляют способы проведения аудита безопасности установленных портов / пакетов, которые хорошо интегрируются со встроенными механизмами обновления. В целом подход Debian (и, возможно, Ubuntu, поскольку они так тесно связаны) является одним из более изящных решений этой проблемы.

Это помогает с двумя вещами:

1. безопасность - сначала получите исправления безопасности, затем вы будете подвержены меньшему риску при обновлении остальных
2. Обновления безопасности должны храниться на высоком уровне безопасности, так как вы склонны полагаться на них для защиты остальной части вашей системы, поэтому может случиться так, что в этом репозитории более строгие меры безопасности для предотвращения компрометации.

вполне могут быть и другие причины, но это две, которые я считаю полезными