Actualizaciones de seguridad y SGPs

Enviado por yaco el 17 Abril, 2005 - 22:20.

Justo en este momento me encuentro en observación de una organizaciónn en medio de una migración masiva hacia Linux en progreso. La distro elegida como base para todas las máquinas fue Debian (como de costumbre debo agregar).

Me estoy preguntando cómo se manejarán las actualizaciones de seguridad.

Por lo que entiendo, la gente de Debian publica security updates solo para Woody (la versión estable). Las otras dos versiones, testing e inestable se actualizan solo a fuerza de ir recibiendo nuevas versiones de los paquetes en un lapso no estimable con exactitud, por lo que puedes tener la actualización de seguridad al mismo tiempo que las demás distros o mucho tiempo después; si es la última opción, tus sistemas están expuestos durante el período que tarden en llegar los nuevos paquetes a los repositorios (más lo que tarde tu server apt en replicarlos a tu repositorio local, más el período en que los sysadmins actualizan las máquinas de la red).

Es tan pesadamente cierto todo lo que he razonado en el parráfo anterior?

La importancia de lo anterior es relativamente casi nula al momento, con la liberación de Sarge pendiente a futuro y a corto plazo. Igualmente hay un par de consideraciones:

* En cuanto a los servidores, el razonamiento no se aplica por tener "lo último" sino por tener los parches apropiados corriendo cuando se deba (poco después de descubierto el problema de ser posible).

* En cuanto los clientes la cuestión es un poco más inquietante.

(1) Los usuarios de escritorio (corporativo en este caso), no requieren usualmente las mejoras que van surgiendo de versión en versión si usan cierto soft cuasi-estático en mejoras funcionales, como OpenOffice.org, Mozilla-Firefox, Evolution, etc. la cuestión es tener los mismos parches de seguridad que en los servidores, ni más ni menos.

(2) Para los usuarios que requieren nuevas versiones de soft no incluído aún en Sarge (después que se libere serán congeladas todas las versiones), por ejemplo: NVU, la cosa es un poco peor: seguramente muchos usuarios pasarán, parcialmente al menos, a Inestable. Es allí donde tenemos los problemas de seguridad más evidentes y la falta de correlación predecible entre actualizaciones y mantenimiento continuo de la seguridad en cuanto a paquetes.

Si se fijan un poco verán que la cuestión viene derivada, muy en principio, de la posibilidad de usar sistemas de gestión de paquetes (SGP) como apt-get y urpmi (y cualquier otro que permita ese nivel de flexibilidad en la instalación de paquetes).

Evidentemente Mandriva y su esquema de versiones: estable, communitys (testing) , y cooker (inestable), tienen el mismo dilema, aunque con una ventaja (fundamental por cierto): las versiones testing (community editions como se llaman hasta ahora) sí tienen actualizaciones de seguridad.

La misma ventaja se puede apreciar en otras distribuciones como ubuntu/kubuntu por ejemplo.

Se puede discutir un poco:

* ¿por qué no usar repositorios de paquetes "a lo último" backporteados para la versión estable? Como los de THACS por ejemplo.

* Crear un repositorio local de source rpms de Cooker recompilados contra la versión estable (básicamente el mismo trabajo que hace THACS y otros, pero con los paquetes que nos interesen).

* Integrarse a las listas de Cooker y participar activamente en el testeo de paquetes, y así saber cual versión y source es el que mejor funciona como para recompilarlo concientemente (y no a ciegas tomando cualquier source rpm que encuentres en Cooker al momento).

.etc.

Lo que sí me pregunto es si teniendo SGPs del nivel de urpmi + las 10.000 aplicaciones disponibles en mirrors para Mandriva, y aún con toda la flexibilidad que implica usar una distro como Debian ¿vale la pena recomendar (y mantener) Debian con el nivel de incertidumbre que implica tener actualizaciones de seguridad cuasi erráticas?

No quiero menospreciar a nadie que use Debian aclaro (ahí al lado de Mdv05, tengo un Hoary dejando marcas de fuego de lo bien que anda). Es una consideración puramente técnica (incluso, en caso de tener que mantener mirrors de dos distros, me planteo recomendar el pasar a Ubuntu o a Mandriva).

No tengo conclusión con todo esto aún, solo ideas, tal vez Uds. tengan algunas.

blog de yaco
Entra a tu cuenta o crea una para poder comentar.

# 5798: Sarge ...

Enviado por minskog el 18 Abril, 2005 - 00:15.

... SI tiene parches de seguridad, desde hace meses, ya que sarge es cuasi-stable. Si no sale es gracias a gnome y a que consideran exim y alguno más parte de base (cosa que nunca entenderé)

Entra a tu cuenta o crea una para poder comentar.

Bienvenido a BlogDRAKE

Mapa de BlogDRAKE
Descripción de todas las secciones de BlogDRAKE.
Normas de uso
Reglas de BlogDRAKE, las cuales debes seguir.
¿Que es BlogDRAKE?
Todo lo que siempre quisiste saber sobre nosotros, pero que nunca te atreviste a preguntar.
Guía para nuevos usuarios de Mandriva Linux
Esta Guía contiene información básica para Novatos o Usuarios nuevos, sobre el uso de Mandriva Linux. Se divide en tres secciones: Mandriva Linux, BlogDRAKE y uso de Mandriva Linux

Buscar

Encuesta

¿Varios dias despues de descargar Mandriva 2009, que tal ha funcionado?

Me encanta, es mejor que Mandriva 2008.1

36%

Esta bien pero tiene KDE 4

Me da problemas que no tenia en Mandriva 2008.1

31%

Todavia no la he descargado

13%

Ni bien ni mal

No me ha gustado para nada

Total de votos: 178

Envíos recientes de blog

más

Nuevas discusiones

más

Discusiones activas

más

Navegación

Inicio de sesión de usuario

noticiasDrake

En línea

Usuarios en línea:

Nuevos

Mandriva Linux

Mandriva Security

Planeta BlogDrake

Busqueda de BUGs

Mandriva Club

NO a las Patentes de Software

Licencia