Debian testing com atualizações de segurança

Os únicos ramos da Debian que recebem atualizações de segurança são o unstable e o stable, no primeiro são feitas pelos mantenedores do pacote e no segundo pelo time de segurança. O testing espera o pacote corrigido do unstable, esse espaço de tempo é crítico para segurança, por isso o testing é considerado o ramo mais inseguro.

Lendo o wiki do Debian, eu encontrei a solução para o problema de segurança do testing, lá tem um link para uma página no GitHub que abriga umas configurações e um script que atualiza os pacotes do testing com os pacotes que foram corrigidos no unstable, o script faz isso usando a saída do debsecan que é um script da Debian que mostra os pacotes que foram corrigidos no unstable, dessa forma o script cria pinos temporários com prioridade mais altas para os pacotes corrigidos do unstable, então sempre que é executado o “apt update” o script automaticamente entra em ação e na execução do “apt upgrade” os pacotes do testing com problemas de segurança são substituídos pelos pacotes corrigidos do unstable.

O pré-requisito para usar o script no Debian testing é adicionar os repositórios unstable e experimental na sourceslist e pinar o apt.

No blog abaixo ensina fazer esse fácil procedimento:

Eu encontrei a página do script no wiki do debian, no título: “Melhores práticas para usuários(as) da teste (testing)” – No link: adicionar “pinnings” temporários

wiki.debian-testing

Melhores práticas para usuários(as) da teste (testing)

É uma boa ideia incluir a instável (unstable) e a experimental em suas fontes do apt para que você tenha acesso a pacotes mais novos quando necessário. (…).

É uma boa ideia instalar atualizações de segurança da instável (unstable) já que elas levam um período maior para alcançar a teste (testing), e o time de segurança somente lança atualizações para a instável (unstable). Se você tem a instável (unstable) em suas fontes do apt, mas fixadas mais baixo que a teste (testing), você pode automaticamente adicionar “pinnings” temporários para pacotes com problemas de segurança fixos na instável (unstable) usando a saída do debsecan.


Clique aqui para ir para página do script no GitHub


Observações para algumas partes da página:

Ignore a parte de “prerequisites”, pois o Debian testing já deve está pronto com os repositórios unstable e experimental e apt pinado. Nessa parte tem umas configurações para fazer isso, mas estão incompletas. Tudo isso já foi feito usando o blog lá em cima.

A parte mais importante é a “installation”, onde tem a instalação do debsecan, do script e suas configurações.

Na parte “special cases” é uma recomendação para pinar o Chromium e o Firefox com prioridades mais altas para serem instalados e atualizados a partir do unstable. Essa parte é opcional, pois o Chromium pode ser usado o do testing mesmo, e a Debian usa por padrão o Firefox ESR que é mais estável, mas caso queira usar o Firefox normal pode fazer esse procedimento, até porque o Firefox normal só existe no unstable.

Basta copiar e colar as instruções no terminal como root, pois já tá tudo pronto, os arquivos de configuração e o script serão baxados para as pastas corretas.


Resumindo:

1 – Debian testing com repositórios testing, unstable e experimental – apt pinado. (blog)
2 – Página do projeto no GitHub, na parte: “installation” (root: copiar, colar).


4 curtidas