在/etc/apt/sources.list(列出 APT 数据源)文件中列出了两个用于安全更新的存储库:
deb http://security.debian.org/ wheezy/updates main contrib non-free
deb-src http://security.debian.org/ wheezy/updates main contrib non-free
为什么安全更新与正常软件包更新分开保存?如果我想使用apt-get upgrade最新的安全补丁更新所有已安装的软件包 ( ),但不安装任何附加功能或安装较新版本的软件包,最佳做法是什么?我是否应该注释掉/etc/apt/sources.list之前的非安全 ATP 数据源apt-get upgrade?
答案1
分离的存储库有两个部分:
- 为了使所有与安全相关的升级易于识别,因为它们来自不同的域并具有不同的套件。
为了加快所有与安全相关的升级并提供独特的镜像以确保在最短的时间内获得最大的可用性,因为镜像会定期与 Debian 同步,这违背了能够修补尽可能多的系统的提议。
事实上,是有的。有几个官方镜像,通过 DNS 别名实现。security.debian.org 的目的是尽可能快速、轻松地提供安全更新。
如果我想使用最新的安全补丁更新所有已安装的软件包(apt-get update),但不安装任何附加功能或安装较新版本的软件包,最佳实践是什么?
如果您真的想要一个强化的系统,我建议您阅读《保护 Debian 手册》首先(通过某些部分可能需要修改,一般来说就可以了)。
我是否应该在 apt-get 升级之前从 /etc/apt/sources.list 注释掉非安全 ATP 数据源?
不,这只是禁用您可能需要的任何非安全软件包安装。不是推荐的行动方案。
问:修复包出现在 security.debian.org 中的政策是什么?
答:稳定发行版中的安全漏洞需要在 security.debian.org 上安装一个软件包。其他的都没有。
security.debian 镜像仅有的包括安全相关的升级。如果你想安装一个从未进行过安全相关升级的软件包,apt 将找不到该软件包,这会让你在启用镜像后再次禁用它们时感到头疼。