为什么镜像debian-安全性是个坏主意?
我正在为内部网络设置一个debian (apt)镜像(大约250台设备,包括容器和vms)。我使用debmirror和rsync来镜像相关的包。这大大减少了网络负载,缩短了安装时间。
我也想镜像debian-security。然而,在2019年11月的security.debian.org 停止在security.debian.org上的rsync上,尽管它仍然可以在rsync.security.debian.org上使用。邮件列表引用镜像如何-到的话说,镜像security.debian.org是个坏主意,但是“如何”只说:
Debian -安全/档案包含Debian安全小组发布的安全更新。虽然这听起来很有趣,但是我们不建议用户使用镜像来获得安全更新,而是要求他们直接从我们的分布式security.debian.org服务下载它们。我们建议不要镜像debian-安全性。
为什么不行?所有包都是gpg签名的,并且将通过具有(受信任的)证书的https在本地(受信任的)网络上传递。为何不建议这样做呢?
回答 1
Server Fault用户
发布于 2022-12-17 10:49:22
https://www.debian.org/security/faq#mirror
问:为什么security.debian.org没有官方的镜子?答:事实上,确实有。有几个官方镜像,通过DNS别名实现。security.debian.org的目的是使安全更新尽可能快和容易地可用。鼓励使用非官方镜像会增加额外的复杂性,这通常是不需要的,如果这些镜像不及时更新,可能会导致沮丧。
这听起来像是想要保持控制,并承认Debian团队不能保证其他(社区)镜像能够尽快同步,因为他们可以将更新推到自己的安全更新基础设施。
请注意,虽然Debian可能不方便镜像security.debian.org,但它们也不禁止您运行自己的镜像。如果这更适合你的需要,可以随意设置一个。
https://serverfault.com/questions/1118258
复制相似问题
腾讯云开发者
