Назад | Перейти на главную страницу

управление исправлениями для программного обеспечения, скомпилированного из исходников

Я занимаюсь исследованием создания сервера лампы в ubuntu или debian для внутренней сети. Практически все, что я видел, рекомендует собирать из исходного кода, вырезать все компоненты и тому подобное для безопасности и получения самых последних версий всего. Для конкретных пакетов (apache, mysql, php) было бы лучше просто придерживаться пакетов debian / ubuntu? Клиент довольно серьезно относится к продуктам Microsoft, и это первая попытка широко использовать Linux в этой компании, поэтому я хочу иметь возможность представить руководству что-то очень надежное.

Почти всегда лучше использовать пакеты из дистрибутива.

  1. Их легко обновить стандартными средствами (apt и т. Д.). Даже можно сделать автоматически.
  2. Пакеты протестированы; меньше шансов сломаться каким-то странным образом.
  3. Все зависимости обрабатываются автоматически для вас
  4. Гораздо проще задокументировать, чтобы кто-то другой мог взять на себя ответственность, когда вы уйдете. «Стандартные пакеты Apache Ubuntu» вместо страницы за страницей с указанием, какие именно параметры вы выбрали при компиляции, где все установлено и т. Д.
  5. Что-то клиент может понять, как управлять основами. «Для обновления запускайте эти две команды на регулярной основе» или «для обновления ОС запускайте эти команды на регулярной основе; чтобы узнавать об обновлениях для httpd, подпишитесь на этот список рассылки; для обновления httpd загрузите последний файл. с этого сайта и запустите эти команды ».

Я бы сказал, просто установите пакеты по умолчанию из вашего дистрибутива. Если вы хотите chroot для вашей установки apache, вы можете установить пакет mod_chroot. В Debian / Ubuntu это будет libapache2-mod-chroot.

Что касается актуальности, просто убедитесь, что вы используете поддерживаемую версию ОС (например, Debian Lenny или Ubuntu Hardy LTS), чтобы репозитории безопасности были активированы в вашем sources.list и обновляли ваши пакеты на постоянная основа.

Если ваш клиент - фанат Microsoft, он наверняка не привык создавать что-то из исходников, и его не должно шокировать использование уже готовых продуктов. Если вы собираете из исходного кода, просто знайте, что вам придется самостоятельно следовать рекомендациям по безопасности, исправлять и перестраивать программное обеспечение каждый раз, когда это происходит, а не просто обновлять пакеты.

Я знаю, что есть много фанатиков «безопасности», которые говорят, что вы должны собрать все из исходных кодов, поместить все в chroot-файлы и заблокировать свой компьютер в банковском сейфе. Основная проблема, которую я вижу в этом, заключается в том, что это не обязательно повысит вашу безопасность, но, безусловно, сделает его очень сложным для администрирования (просто объяснил, почему в предыдущем абзаце), и, в конце концов, он окажется менее безопасным, чем использование стандартного пакеты и поддержание их в актуальном состоянии с помощью звуковой конфигурации.