Forum général.cherche-logiciel Comment appliquer les patchs de sécurités sur Debian

Posté par  .
Étiquettes :
0
25
mai
2007
Bonjour,

Une question bete :

Pour maintenir un serveur de production debian 4 à jour , le mode operatoire ci-dessous est-il correct :

1) rajouter deb http://security.debian.org/ etch/updates main contrib non-free

dans votre fichier /etc/apt/sources.list.

2) s'abonner à la liste de diffusion

3) faire apt-get update
puis apt-get upgrade


Merci de vos réponses..

  • # Bizarre...

    Posté par  . Évalué à 0.

    C'est bizarre, sur la page http://www.debian.org/security/ ils disent effectivement la même chose que ce que tu dis, mais dans la FAQ (http://www.debian.org/security/faq#contrib) ils disent aussi que main et contrib ne sont pas supportés par l'équipe de sécurité. À ta place je les enlèverai de ton sources.list s'ils ne te sont pas utiles.

    Sinon, pour un serveur de production, il serait peut-être intéressant de lire le manual de sécurité Debian (http://www.debian.org/doc/manuals/securing-debian-howto/inde(...) ) pour avoir un aperçu de ce qu'il faut faire et ne pas faire. Enfin tout dépend de la criticité et de la visibilté de ton serveur aussi, s'il est invisible de l'extérieur, c'est peut-être pas la peine de trop s'embêter.

    • [^] # Re: Bizarre...

      Posté par  (site web personnel) . Évalué à 2.

      Tout d'abord, oui c'est le bon mode opératoire.

      Ensuite tu ne devrais pas avoir a modifier le sources.list , l'installeur l'a déja fait. L'abonnement a la liste de diffusion n'est pas indispensable (tu peux installer apticron pur etre au courant des modifications).

      Et pour répondre au commentaire ci dessus, je serais étonné que main ne soit pas supporté par l'équipe de sécurité, vu que main C'EST debian. Contrairement a contrib et non-free qui sont juste supportés par debian. Donc peut-être confusion, contrib et non-free ne sont pas supportés.

    • [^] # non, rien de bizarre, c'est bien ça

      Posté par  . Évalué à 3.

      http://www.debian.org/security/faq#contrib ils disent aussi que main et contrib ne sont pas supportés par l'équipe de sécurité


      1/ Tu voulais sans doute dire "non-free et contrib", ne pas mettre à jour main aurait des conséquences pas belles à voir :)

      2/ Supporté au sens "on vous assure que la mise à jour de sécurité sera appliquée", cf la fin du paragraphe :
      S'il est possible de corriger le problème, et que le responsable du paquet ou quelqu'un d'autre fournit des paquets à jour conformes, alors l'équipe en charge de la sécurité, dans la plupart des cas, intégrera ces paquets et publiera une annonce de sécurité.


      3/ Enfin, par rapport à contrib et non-free, il faut également les indiquer, cf. les premières lignes de
      http://www.debian.org/security/ et le contenu de ftp://security.debian.org/debian-security/dists/etch/updates(...)

  • # Tester le patch

    Posté par  . Évalué à 3.

    Moi j'aurais rajouté un petit truc, enfin tout dépend des moyens et de la criticité du systeme.
    Il est toujours interressant de tester le patch, sur une machine de test/homologation opur voir les différentes répercutions. Même si normalement il n'y a pas de soucis à se faire, on est jamais à l'abris d'une petite erreur qui dans le cas d'une config un peu particuliere peu entrainer une régression du service.

  • # rss

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    À la place de t'abonner à la ML, tu peux suivre ce fil RSS:
    http://www.debian.org/security/dsa.rdf

    La gelée de coings est une chose à ne pas avaler de travers.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.