Si quiero un Linux más seguro y actualizado, ¿en qué casos debo evitar los repositorios oficiales?

5

El problema es el siguiente: los repositorios de Linux (dependiendo de la distribución) proporcionan software y actualizaciones, pero generalmente ese software no es la última versión oficial, pero es una versión anterior o una rama que (con suerte) ha sido parcheada para reparar todos ( ¿O tal vez no todas?) las vulnerabilidades encontradas hasta ahora, y no estoy seguro de quién hace exactamente esto y qué retraso puede haber entre la divulgación de una vulnerabilidad y la disponibilidad de una actualización en los repositorios de distribución. Sé que esto se debe a una compensación entre la seguridad y la estabilidad, pero creo que a veces es posible que tenga más seguridad que estabilidad en una instalación de escritorio.

Eso me hizo preguntarme: ¿debería instalar y actualizar Tor usando el repositorio oficial de mi distribución, o debería usar otro método y qué método? (Como, por ejemplo, usar el repositorio oficial de Tor, que por cierto le advierte que no use los repositorios de Ubuntu porque su paquete Tor podría no estar actualizado, como sospechaba, y como sospecho de muchos otros paquetes, de ahí que pregunta). Y luego me hice la misma pregunta para Virtualbox, VLC, LibreOffice, lo que sea. Por cierto, si una aplicación no tiene un repositorio oficial, será un problema buscar actualizaciones. Y sé que las PPA no deberían considerarse seguras en general.

Y eso lleva a la pregunta más general: si quiero una distribución más segura y actualizada, ¿a veces debería considerar el uso de diferentes métodos para instalaciones y actualizaciones en lugar de los repositorios oficiales de mi distribución? ¿Para qué tipo de paquetes y aplicaciones sugerirías esto? Esta pregunta es especialmente sobre instalaciones de escritorio, pero si lo desea, también puede ampliar su respuesta, incluidos los servidores, puede ser interesante en comparación.

    
pregunta reed 09.05.2018 - 00:06
fuente

4 respuestas

4

El Proyecto Tor recomienda oficialmente que no uses un PPA o el administrador de paquetes de tu distro, sino que lo instales directamente desde su sitio web. Este no suele ser el caso y, por lo general, los buenos mantenedores de paquetes mantendrán el software actualizado. Por ejemplo, Debian lanza nuevas actualizaciones de seguridad para paquetes rápidamente y proporciona avisos de seguridad pública para paquetes vulnerables.

Es importante hacer un seguimiento de los avisos públicos de su distro para que pueda conocer el estado de su instalación y todos los paquetes relevantes que ha instalado. La reciente vulnerabilidad de wget es reportada por Debian como un DSA (Debian Security Advisory), por ejemplo.

    
respondido por el forest 09.05.2018 - 00:08
fuente
3

No hay una respuesta universal, pero en general, si desea un sistema más seguro, apéguese a una de las principales distribuciones y use una versión de la distribución que se mantiene. Si desea la última versión, todos los errores y todos, entonces use una distribución móvil o instale el programa manualmente.

Para la mayoría de los usuarios, el mayor riesgo es no hacer actualizaciones. Mantener una distribución significa que tienen un único punto de actualizaciones. Ya sea que no sea un usuario técnico o un administrador de sistemas profesional, es mucho más fácil hacer clic regularmente en un botón o ejecutar un script para aplicar las actualizaciones de la distribución que verificar y aplicar las actualizaciones por separado para cada pieza de software que haya instalado.

Parece que estás asumiendo implícitamente que la última versión es la más segura, ¡pero eso está mal! La última versión tiene nuevas correcciones de errores, pero también tiene nuevos errores, y las implicaciones de seguridad de sus características más nuevas pueden ser poco conocidas. Las distribuciones de la seguridad del puerto se reparten en la versión que envían, por lo que el hecho de que esta no sea la última versión no significa que tenga las vulnerabilidades anteriores.

Además, la actualización sistemática a la última versión conlleva el riesgo de que existan incompatibilidades funcionales, y terminará teniendo que elegir entre tener una funcionalidad rota debido a una actualización o mantener la última versión que funciona para usted pero tiene una vulnerabilidad conocida. La aplicación de la misma versión que ha estado utilizando para solucionar un problema específico conlleva mucho menos riesgo.

Si hay un programa específico que te interesa mucho y quieres la última versión, entonces adelante e instálala. Pero eso es un riesgo que estás tomando. No es algo que haces para que tu sistema sea más seguro.

    
respondido por el Gilles 09.05.2018 - 12:57
fuente
1

• Cuando un paquete no es muy popular, habrá menos posibilidades de que se corrijan las vulnerabilidades tan pronto como se descubren, en los repositorios de la distro. Sin embargo, el sitio oficial debería haberlo arreglado.

• Cuando el repositorio que está utilizando no es muy popular, puede parecer un poco absurdo. Pero considere las distribuciones no tan populares con una pequeña base de usuarios. Por lo tanto, en lugar de obtener una aplicación de software de, digamos, el repositorio Tiny Core Linux / Alpine Linux no es más seguro que obtenerlo como un paquete tar.gz portátil o clonarlo desde git y luego construirlo localmente.

// Por supuesto, excepto que el paquete está instalado por el 90% de los usuarios, puede asegurarse de que el sitio oficial del paquete contenga correcciones de errores más rápidas, siempre que verifique las sumas de comprobación SHA256 después de descargar: P.

    
respondido por el user9600383 09.05.2018 - 03:06
fuente
1

Esto es solo una pregunta de relación costo / ganancia. El uso de un distribuidor se basa en un equipo de terceros para garantizar que las diferentes piezas de software que instale en una máquina se ejecuten sin problemas y se actualicen periódicamente. En el lado opuesto está la forma Linux from scratch : instale un software variado y de núcleo desde sus fuentes oficiales, y siga directamente los parches y actualizaciones de los consejos de seguridad. Además del riesgo de mezclar versiones incompatibles, seguir directamente las fuentes oficiales de todo el software instalado requerirá mucho trabajo.

Mi opinión es que la verdad debería estar en el medio:

  • confíe en una distribución para el sistema básico
  • instale sensible partes de sus fuentes oficiales, y siga los consejos de seguridad

Y aquí viene otra vez la pregunta eterna: cuáles son las amenazas, cuáles son los riesgos en mi caso de uso particular. Una vez que lo haya respondido, y dependiendo de la distribución que use, sobre qué aplicaciones son sensibles para usted y cómo se mantienen en su sitio oficial y en la distribución, podrá elegir qué debe provenir de la distribución y qué Debería provenir de fuentes oficiales.

Como de costumbre es la seguridad, no hay una solución única para todos ...

    
respondido por el Serge Ballesta 09.05.2018 - 11:44
fuente

Lea otras preguntas en las etiquetas