Se voglio un Linux più sicuro e aggiornato, in quali casi dovrei evitare i repository ufficiali?

5

Il problema è questo: i repository Linux (a seconda della distribuzione) forniscono software e aggiornamenti, ma di solito il software non è l'ultima versione ufficiale, ma è una vecchia versione o ramo che (si spera) è stato riparato per risolvere tutto ( o forse non tutti?) le vulnerabilità rilevate finora, e non sono sicuro di chi lo stia facendo esattamente e quale ritardo ci possa essere tra la divulgazione di una vulnerabilità e la disponibilità di un aggiornamento nei repository di distribuzione. So che questo è dovuto a un compromesso tra sicurezza e stabilità, ma immagino che a volte potresti avere un po 'più di sicurezza piuttosto che stabilità su un'installazione desktop.

Quindi mi sono chiesto: dovrei installare e aggiornare Tor usando il repository ufficiale della mia distribuzione, o dovrei usare un altro metodo, e quale metodo? (Come per esempio usando il repository ufficiale di Tor, che tra l'altro ti avverte di non usare i repository di Ubuntu perché il loro pacchetto Tor potrebbe non essere aggiornato, come sospettavo, e come sospetto di molti altri pacchetti, quindi questo domanda). E poi mi sono posto la stessa domanda per Virtualbox, VLC, LibreOffice, qualunque cosa. A proposito, se un'applicazione non ha un repository ufficiale, sarà un problema controllare gli aggiornamenti. E so che i PPA non dovrebbero essere considerati sicuri in generale.

E ciò porta alla domanda più generale: se voglio una distribuzione più sicura e aggiornata, dovrei a volte considerare l'utilizzo di metodi diversi per installazioni e aggiornamenti al posto dei repository ufficiali della mia distribuzione? Per quale tipo di pacchetti e applicazioni suggeriresti questo? Questa domanda riguarda in particolare le installazioni desktop, ma se vuoi puoi anche espandere la tua risposta, inclusi i server, potrebbe essere interessante al confronto.

    
posta reed 09.05.2018 - 00:06
fonte

4 risposte

4

Il Progetto Tor ti consiglia ufficialmente di non utilizzare un PPA o il gestore di pacchetti della tua distro e invece di installarlo direttamente dal loro sito web. Questo di solito non è il caso e, in genere, i manutentori di un buon pacchetto manterranno il software aggiornato. Ad esempio, Debian rilascia prontamente nuovi aggiornamenti di sicurezza per i pacchetti e fornisce avvisi di pubblica sicurezza per i pacchetti vulnerabili.

È importante tenere traccia degli avvisi pubblici della tua distro in modo che tu possa essere informato dello stato della tua installazione e di tutti i pacchetti rilevanti che hai installato. La recente vulnerabilità wget è segnalata da Debian come DSA (ad esempio Debian Security Advisory), ad esempio.

    
risposta data 09.05.2018 - 00:08
fonte
3

Non esiste una risposta universale, ma in generale, se si desidera un sistema più sicuro, attenersi a una delle principali distribuzioni e utilizzare una versione della distribuzione mantenuta. Se vuoi l'ultima versione, i bug e tutto, allora usa una distribuzione a rotazione o installa il programma manualmente.

Per la maggior parte degli utenti, il rischio maggiore non è quello di fare aggiornamenti. Attaccare a una distribuzione significa che hanno un unico punto di aggiornamento. Che tu sia un utente non tecnico o un amministratore di sistema professionale, è molto più facile fare regolarmente clic su un pulsante o eseguire uno script per applicare gli aggiornamenti della distribuzione piuttosto che verificare e applicare gli aggiornamenti separatamente per ogni software installato.

Sembra che tu stia implicitamente presumendo che l'ultima versione sia la più sicura, ma è sbagliato! L'ultima versione ha nuove correzioni di bug, ma ha anche nuovi bug e le implicazioni sulla sicurezza delle sue nuove funzionalità potrebbero essere capite male. Le correzioni sulla sicurezza delle porte di distribuzione sono valide per la versione che vengono fornite, quindi il fatto che questa non sia l'ultima versione non significa che abbia le vecchie vulnerabilità.

Inoltre, l'aggiornamento sistematico alla versione più recente comporta il rischio di incompatibilità funzionali e finirai per dover scegliere se soffro di funzionalità danneggiate a causa di un aggiornamento o di mantenere la penultima versione che funziona per te ma ha una vulnerabilità nota. Patchare la stessa versione che hai usato per risolvere un problema specifico comporta molto meno rischi.

Se c'è un programma specifico a cui ti piace molto e vuoi assolutamente l'ultima versione, procedi e installalo. Ma questo è un rischio che stai prendendo. Non è qualcosa che fai per rendere il tuo sistema più sicuro.

    
risposta data 09.05.2018 - 12:57
fonte
1

• Quando un pacchetto non è molto popolare, ci saranno meno possibilità che le vulnerabilità vengano risolte non appena vengono scoperte, nei repository di distribuzione. Tuttavia, il sito ufficiale dovrebbe averlo corretto.

• Quando il repository che stai usando non è molto popolare - potrebbe sembrare un po 'assurdo. Ma considera le distribuzioni non così popolari con una piccola base di utenti. Quindi, invece di ottenere un'applicazione software da, ad esempio, il repository di Tiny Core Linux / Alpine Linux non è più sicuro che ottenerlo come un pacchetto tar.gz portatile o clonare da git e quindi creare localmente.

// Ovviamente, ad eccezione del fatto che il pacchetto è installato dal 90% degli utenti, è possibile garantire che il sito ufficiale del pacchetto contenga correzioni più rapide, a condizione di verificare i checksum SHA256 dopo il download: P.

    
risposta data 09.05.2018 - 03:06
fonte
1

Questa è solo una domanda di rapporto costo / guadagno. L'utilizzo di una distribuzione si basa su un team di terze parti per garantire che i diversi componenti software installati su una macchina funzionino senza interruzioni e vengano aggiornati regolarmente. Sul lato opposto c'è il modo Linux da zero : installa un kernel e un software variato dalle loro fonti ufficiali, e segui direttamente le patch di sicurezza e gli aggiornamenti. A parte il rischio di mescolare versioni incompatibili, seguire direttamente le fonti ufficiali per tutti i software installati richiederà molto lavoro.

La mia opinione è che la verità dovrebbe essere nel mezzo:

  • si basano su una distribuzione per il sistema di base
  • installa parti sensibili dalle loro fonti ufficiali - e segui i consigli di sicurezza

E qui arriva di nuovo l'eterna domanda: quali sono le minacce, quali sono i rischi nel mio caso d'uso particolare. Una volta che hai risposto, e in base alla distribuzione che utilizzi, su quali applicazioni sono sensibili per te e su come sono mantenute nel loro sito ufficiale e nella distribuzione, sarai in grado di scegliere cosa dovrebbe provenire dalla distribuzione e quali dovrebbe provenire da fonti ufficiali.

Come al solito è la sicurezza, non esiste una soluzione adatta a tutte le soluzioni ...

    
risposta data 09.05.2018 - 11:44
fonte

Leggi altre domande sui tag