我正在将独立双四核 Xeon PowerEdge 机架服务器从 Wheezy 升级到 Jessie。关注 debian.org指示对于升级,仅deb提到以下行需要放入sources.list:
deb http://mirrors.kernel.org/debian jessie main contrib
在这个问题并回答,我了解到来源jessie/updates提供security.debian.org“安全关键更新......尽快为安全问题提供最安全的修复......这些更新通常会合并到下一个稳定更新中。”
我使用该服务器进行量子化学计算;来自外界的唯一(有意的)入站交互是当我通过 NAT 通过路由器打开并重定向的 SSH 端口通过 SSH 进入控制台时。root登录被禁用,我有denyhosts安装并配置为auth.login每三十秒解析一次,以阻止黑客尝试。
我确实gdm安装了 Firefox,并且偶尔使用 Firefox 浏览网页(GitHub、StackExchange、Gmail、Twitter 等)。我还会时不时地从 GitHub 存储库中提取和推送。
security.debian.org jessie/updates那么:从我的 中省略来源会产生什么安全影响sources.list?(需要注意的是,我认为没有理由不是包括他们;我只是好奇将它们排除在外是否会带来重大安全问题。)
答案1
您将错过重要的安全更新。ssh最近几乎没有安全更新,您还会错过防火墙的更新(在 NAT 下不需要,但您也不应该太信任我们的本地网络)。
我认为过去安全性还被用来修补ntp错误(该错误使计算机在闰秒挂起)。
并且您不应该忘记传出连接。此外,这应该是安全的:例如,注入和降级可能会让您下载不需要的数据/病毒,或者某些程序会泄露太多信息。因此还要检查出站连接。
答案2
我只是好奇将它们排除在外是否会带来重大的安全问题。
好吧,会的。当安全漏洞公开时,您需要安装修补后的代码,否则您将成为靶子。
您的其他安全措施可能有用,但只能与已修补已知漏洞的软件结合使用。