より安全で最新のLinuxが必要な場合、どのような場合に公式リポジトリを避けるべきですか?

問題はこれです:Linuxディストリビューション(ディストリビューションによります)はソフトウェアとアップデートを提供しますが、通常そのソフトウェアは最新の公式バージョンではありませんが、すべてを修正するようにパッチされた(うまくいけば)古いバージョンかブランチです誰がこれを正確に行っているのか、そして脆弱性の開示から配布リポジトリへの更新の入手が可能になるまでにどのくらいの遅延が生じるのか私にはわかりません。これはセキュリティと安定性の間のトレードオフが原因であることを私は知っています、しかし私は時々あなたはデスクトップインストールの安定性よりももう少しセキュリティを持っているように感じるかもしれないと思うかもしれません。

ですから、私は自分のディストリビューションの公式リポジトリを使ってTorをインストールし更新するべきですか、それとも別の方法を使うべきですか、そしてどのような方法を使うべきですか? (たとえば、Tor公式リポジトリを使用するのと同じように、Ubuntuリポジトリを使用しないことを警告します。これは、そのTorパッケージが最新ではない可能性があるためです。質問)。それから私は自分自身にバーチャルボックス、VLC、LibreOfficeのために同じ質問をしました。ところで、アプリケーションに公式のリポジトリがない場合は、更新を確認するのが面倒になります。また、PPAは一般的に安全と見なされるべきではありません。

そして、それはより一般的な質問につながります:私がもっと安全で最新の配布をしたいのなら、私の配布の公式リポジトリの代わりにインストールと更新のために異なる方法を使うことを考えるべきですか?どのようなパッケージやアプリケーションに対してこれを提案しますか?この質問は特にデスクトップのインストールに関するものですが、サーバーを含めて答えを広げることができるのであれば、比較すると面白いかもしれません。

5
ru de
2つの可能性があります。あなた自身のLinuxを丸ごとインストールしてください。ディストリビューションを使用しないでください。ただし、その即時アップグレードパスを維持するためのすべての機能、機能、および未知の機能が必要な場合は、ソースからコンパイルしてください。他の意味するように、未知数および維持する時間は使用に対する費用になります。 2つ目は、すべてのバグと脆弱性が新しいバージョンで修正されているという誤解を受け入れることです。これはいつもそうではないので。特定の既知の問題に特定の既知の問題にパッチを適用していないだけでなく、攻撃者が発見して武器にしている未知の脆弱性の問題にパッチを適用することはできません。
追加された 著者 mike davis,

4 答え

Torプロジェクトは公式にあなたがPPAやあなたのディストリビューションのパッケージマネージャを使わず、代わりに彼らのウェブサイトから直接インストールすることを勧めます。通常これは当てはまりません。通常、優れたパッケージメンテナはソフトウェアを最新の状態に保ちます。例えばDebianはパッケージの新しいセキュリティアップデートを迅速にリリースし、脆弱なパッケージのセキュリティ勧告を公開しています。

あなたがあなたのインストールの状態とあなたがインストールしたすべての関連パッケージを知らされることができるようにあなたのディストリビューションの公の勧告を追跡することは重要です。最近の wgetの脆弱性がDSAとして報告されました(Debianセキュリティアドバイザリ)。 、 例えば。

4
追加された

普遍的な答えはありませんが、一般的には、より安全なシステムが必要な場合は、主要なディストリビューションの1つに固執し、維持されているディストリビューションのバージョンを使用してください。最新バージョン、バグ、その他すべてが必要な場合は、ローリングディストリビューションを使用するか、プログラムを手動でインストールしてください。

大多数のユーザーにとって、最大のリスクは更新を行わないことです。ディストリビューションにこだわることは、彼らが単一の更新ポイントを持つことを意味します。あなたが技術者ではないユーザーでもプロのシステム管理者でも、インストールしたすべてのソフトウェアについてアップデートを確認して適用するよりも、定期的にボタンをクリックするかスクリプトを実行して配布のアップデートを適用する方がはるかに簡単です。

最新バージョンが最も安全なものであると暗黙のうちに想定しているようですが、それは間違っています。最新版には新しいバグ修正が加えられていますが、新しいバグもあり、その新しい機能によるセキュリティへの影響はあまり理解されていない可能性があります。ディストリビューションはセキュリティ修正を彼らが出荷するバージョンに移植するので、これが最新バージョンではないという事実はそれが古い脆弱性を持っていることを意味しません。

さらに、最新バージョンへの体系的なアップグレードは機能的な非互換性があるというリスクを伴います、そしてあなたはアップグレードのために壊れた機能性に苦しむか、または次の目的のために動くバージョンを維持するかを選ぶ必要があるあなただけですが、既知の脆弱性があります。特定の問題を修正するために使用してきたのと同じバージョンにパッチを適用することで、リスクが大幅に軽減されます。

あなたが非常に熱心な特定のプログラムがあり、あなたが絶対に最新バージョンを望んでいるのであれば、そして次に進んでインストールしてください。しかし、それはあなたが取っているリスクです。システムをより安全にするためにあなたがすることではありません。

3
追加された
新しい機能を導入することで新しい脆弱性も導入される可能性があるため、最新バージョンのセキュリティはそれほど安全ではない可能性がありますが、それらは unknown という脆弱性ですぐにパッチが適用される予定です。それらが発見されると(他のコードの他の脆弱性と同様に)。だから私は "ディストリビューションを適用した古いバージョン"と "最新の公式バージョン"の間に明確な勝者があるかどうかわからない。
追加された 著者 Jayant,

これは単なるコスト/ゲイン比の問題です。ディストリビューションを使用することは、あなたがマシンにインストールするソフトウェアの異なる部分が円滑に一緒に動き、定期的に更新されることを保証するために第三者チームに頼っています。反対側には、Linuxを一から作成する方法 があります。公式ソースからカーネルとさまざまなソフトウェアをインストールし、セキュリティアドバイスのパッチとアップデートに直接従います。互換性のないバージョンが混在する危険性は別として、インストールされているすべてのソフトウェアの公式ソースを直接たどるには、多くの作業が必要になります。

私の意見は真実はその間にあるべきだということです:

  • 基本システム の販売代理店に頼る
  • 公式のソースから重要な部分をインストールし、セキュリティに関するアドバイスに従ってください

そしてここでもまた永遠の問題があります。私の特別な使用例では、脅威は何ですか、リスクは何ですか。あなたがそれに答えたら、そしてあなたが使用するディストリビューションに依存して、どのアプリケーションがあなたにとって敏感なのか、そしてそれらが公式サイトとディストリビューションでどのように維持されるのか、公式の情報源から来るべきです。

いつものようにセキュリティですが、すべてのソリューションに適合するサイズはありません...

1
追加された

•パッケージがあまり一般的ではない場合、ディストリビューションリポジトリで発見された直後に脆弱性が修正される可能性は低くなります。ただし、公式サイトで修正されているはずです。

•使用しているリポジトリがあまり一般的ではない場合 - 少し不合理に見えるかもしれません。しかし、あまり普及していないディストリビューションを小規模のユーザーベースで検討してください。したがって、Tiny Core Linux/Alpine Linuxリポジトリからソフトウェアアプリケーションを入手する代わりに、移植可能なtar.gzパッケージとして入手したり、gitからクローンを作成してローカルでビルドするよりも安全ではありません。

//もちろん、パッケージが90%のユーザによってインストールされている場合を除き、ダウンロード後にSHA256チェックサムを検証すれば、公式サイトのパッケージにはより迅速なバグ修正が含まれることを保証できます。

1
追加された