> Tous les forums > Forum Linux
 À propos des mise-à-jours de sécurité sous Debian
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Logicien
  Posté le 20/03/2016 @ 05:52 
Aller en bas de la page 
Astucien

Quelqu'un peut-il me dire s'il y a un avantage dans le temps à avoir les dépôts de sécurité Debian dans son sources.list puisque, si je ne me trompe pas, les paquets de ces dépôts s'en vont dans les branches principales stable main et testing main?

Aussi, selon mes lectures, les dépôts contrib et non-free ne font pas partis des mise-à-jours de sécurité puisque les paquets qu'ils contiennent ne sont pas libres selon la définition de Debian.

Finalement, il n'y a pas de mise-à-jour de sécurité pour la branche unstable.

deb http://security.debian.org/ stable/updates main

deb http://security.debian.org/ testing/updates main



Modifié par Logicien le 20/03/2016 05:54
Publicité
Taras_Boulba
 Posté le 20/03/2016 à 13:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

salut, je ne suis pas certain de bien comprendre ton propos. tu parles du sources.list de la unstable j'imagine ?
ne l'ayant jamais installée, je peux pas avoir de certitude mais je ne vois pas pourquoi la unstable ne bénéficierait pas de mise à jour sécurité.

pour ce qui est des sections contrib et non-free, ce sont des dépôts qui correspondent plus ou moins à la DFSG (Directives Debian pour le logiciel libre)
ainsi, il est dit :
La section contrib comprend l'ensemble des paquets qui se conforment aux DFSG, mais qui ont des dépendances en dehors de main (qui peuvent être empaquetées pour Debian dans non-free).
La section non-free contient des logiciels qui ne se conforment pas aux DFSG.

pour autant, les mises à jour sécurité sont bien assurées. ainsi, il est dit, pour être à jour au niveau sécurité :
Si vous utilisez APT, ajoutez la ligne suivante à votre fichier /etc/apt/sources.list pour récupérer les dernières mises à jour de sécurité :
deb http://security.debian.org/ jessie/updates main contrib non-free

donc si debian préconise d'ajouter les sections contrib et non-free en plus de main, c'est que leurs mises à jour sécurité sont bel et bien assurées (et j'ajouterais, heureusement...)

mon sources.list sous la stable : contrib et non-free bénéficient de toutes les mises à jour
# Principal
deb http://httpredir.debian.org/debian/ jessie main contrib non-free
# Sécurité
deb http://security.debian.org/ jessie/updates main contrib non-free
# Volatiles
deb http://httpredir.debian.org/debian/ jessie-updates main contrib non-free
# Backports
deb http://httpredir.debian.org/debian jessie-backports main contrib non-free
# Iceweasel
deb http://mozilla.debian.net/ jessie-backports iceweasel-release
# VideoLAN
deb http://download.videolan.org/pub/debian/stable/



Modifié par Taras_Boulba le 20/03/2016 13:43
Logicien
 Posté le 20/03/2016 à 13:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Salut. Ce que je dis c'est que les lignes suivantes vont donner des erreurs lors d'un apt-get update parce-que l'équipe de sécurité de Debian ne s'occupe pas de la sécurité des paquets de la version unstable/sid. Ce sont les développeurs et les mainteneurs des paquets dans unstable/sid qui le font et contribuent au besoin à la sécurité de Debian avec l'équipe de sécurité et vice-versa.

deb http://security.debian.org/ unstable/updates main

deb http://security.debian.org/ sid/updates main

Il est également inutile de mettre à la suite de main les dépôts contrib et non-free parce-que les paquets qu'ils contiennent ne sont pas supportés par l'équipe de sécurité de Debian. Donc dans ton cas Taras_Boulba, la ligne devrait être

deb http://security.debian.org/ jessie/updates main

Ma question de base, dont ma recherche ne m'a pas permis de trouver de réponse sur Internet jusqu'à présent, est, combien de temps s'écoule-t-il entre le moment ou un correctif apparaît dans security.debian.org et son apparition dans les dépôt principaux des paquets de Debian stable (jessie) et testing (stretch)?

Ma source

FAQ de l'équipe en charge de la sécurité

Q. : Comment est gérée la sécurité pour unstable ?

R. : La sécurité pour unstable est d’abord gérée par les responsables de paquets et non par l’équipe chargée de la sécurité.

Q. : Comment est gérée la sécurité pour contrib et non-free ?

R. : La réponse courte est : elle ne l'est pas.



Modifié par Logicien le 20/03/2016 13:52
Taras_Boulba
 Posté le 20/03/2016 à 13:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

ok, mais alors pourquoi dans sa documentation officielle debian préconise d'ajouter contrib et non-free pour être à jour de la sécurité ?
ça n'a pas de sens...

Si vous utilisez APT, ajoutez la ligne suivante à votre fichier /etc/apt/sources.list pour récupérer les dernières mises à jour de sécurité :
deb http://security.debian.org/ jessie/updates main contrib non-free



Modifié par Taras_Boulba le 20/03/2016 13:54
Logicien
 Posté le 20/03/2016 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bien d'accord avec toi, nos sources se contredisent. Cela peut venir de dates périmées où nos sources ont été produites.



Modifié par Logicien le 20/03/2016 14:03
Taras_Boulba
 Posté le 20/03/2016 à 14:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

https://www.debian.org/security/
dernière modification de la page : 19 mars 2016

ils sont pas connus pour être laxistes en matière de sécurité chez debian...

Logicien
 Posté le 20/03/2016 à 14:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Donc mes sources sont à jours. qu'en est-il des tiennes, est-ce que se sont les mêmes?

Taras_Boulba
 Posté le 20/03/2016 à 14:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

en même temps, je viens de lire ça :
Contrib and non-free aren't official parts of the Debian Distribution and are not released, and thus not supported by the security team. Some non-free packages are distributed without source or without a license allowing the distribution of modified versions. In those cases no security fixes can be made at all. If it is possible to fix the problem, and the package maintainer or someone else provides correct updated packages, then the security team will generally process them and release an advisory.

donc en fait, ça dépend de la méthode de distribution (avec ou sans les sources, licence utilisée)... sans doute pour ça qu'ils préconisent d'ajouter contrib et non-free. certains paquets sont bien suivis, d'autres non.

Anonyme
 Posté le 20/03/2016 à 14:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour à vous

Je m'excuse de poser une question qui n'a rien à voir avec le topic de Logicien

Juste une petite question pour Logicien qui est semble t'il sous Debian Jessie :

Je pensais que "apt-get" pouvais se remplacer par "apt" ( interressant quand on ne fait pas de copier coller, c'est toujours un mot de moins à taper )

Par contre pour cela sur le net j'ai cru comprendre qu'il faut installer :

$ sudo apt install libext

C'est pas une révolution non plus, mais c'est plus simple quand on le tape souvent

Bonne continuation et excusez moi pour le hors sujet

Taras_Boulba
 Posté le 20/03/2016 à 14:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

bon, ça n'est pas non plus catastrophique si on utilise les dépôts non-free et contrib
regarde avec la commande vrms combien de paquets de ces deux sections tu as, ça doit pas faire plus que les 10 doigts de ta main... essentiellement des firmwares proprio ,des fonts et flashplugin

m_n
 Posté le 20/03/2016 à 14:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Message original par Logicien

Quelqu'un peut-il me dire s'il y a un avantage dans le temps à avoir les dépôts de sécurité Debian dans son sources.list puisque, si je ne me trompe pas, les paquets de ces dépôts s'en vont dans les branches principales stable main et testing main?

Aussi, selon mes lectures, les dépôts contrib et non-free ne font pas partis des mise-à-jours de sécurité puisque les paquets qu'ils contiennent ne sont pas libres selon la définition de Debian.

Finalement, il n'y a pas de mise-à-jour de sécurité pour la branche unstable.

deb http://security.debian.org/ stable/updates main

deb http://security.debian.org/ testing/updates main

Vrai ..

la différence est l'ajout de ( contrib non-free ) ..

ce qui veux dire qu'il est inutile de rajouter des dépôts de sécuritét sans le ( contrib non-free ) --> à la Stable ..

perso .. je n'aie que cà pour mes dépôts de sécurité dans /etc/apt/sources.list :

deb http://security.debian.org/ jessie/updates main contrib non-free
deb-src http://security.debian.org/ jessie/updates main contrib non-free

et c'est très suffissant ..



Modifié par m_n le 20/03/2016 15:39
Logicien
 Posté le 20/03/2016 à 15:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Pour FredLand,

effectivement, tu peux faire avec la commande apt des choses qui se font avec la commande apt-get . Tu peux même faire des choses que la commande apt-cache fait. Tu peux même éditer le fichier /etc/apt/sopurces.list. Les commandes apt, apt-get et apt-cache font parti du même paquet apt . Ces commandes sont donc installées en même temps. En exécutant la commande

apt

dans un terminal, tu as un résumé des possibilités de la commande. Pour la page de manuel (en anglais), tu fais

man apt

Par habitude, j'ai toujours utilisé la commande apt-get, mais je pourrais me convertir à la commande apt. Merci pour le détail.

Taras_Boulba,

je me pose la question de la pertinence des dépôts http://security.debian.org/ parce-que je viens de les ajouter à mes sources.list et je n'ai eu aucun paquet à mettre à jour après un update et un upgrade. C'est pourquoi je demande combien de temps s'écoule-t-il entre l'arrivée des correctifs chez http://security.debian.org/ et l'arrivée de ces mêmes correctifs dans les dépôts principaux main des branches stable et testing.

Pour ce qui est de contrib et non-free, si un apt update ou apt-get update ne donne pas d'erreur, ça doit être bon. Je t'invite à lire le fichier README.security tiré du mirroir Debian que j'utilise. On ne parle pas de contrib et de non-free. Pourtant leurs répertoires existent à côté des correctifs de sécurité de main. Ça doit être pour le respect de la philosophie.

Je viens d'ajouter contrib et non-fre à mes lignes http://security.debian.org/ dans mes sources.list . Tant que je ne supprimerai pas complètement contrib et non-free de tous mes dépôts, je vais les garder pour http://security.debian.org/ également.

Aussi bien accepter avoir de la redondance dans mes dépôts que de devenir fou à éviter les doublons et les dépôts inutiles quand la documentation à ce sujet est pour le moins paradoxale.

Merci de vos contributions.



Modifié par Logicien le 20/03/2016 15:42
Anonyme
 Posté le 20/03/2016 à 15:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci pour ta réponse Logicien

Bonne continuation à vous

Taras_Boulba
 Posté le 20/03/2016 à 18:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien
Logicien a écrit : je me pose la question de la pertinence des dépôts http://security.debian.org/ parce-que je viens de les ajouter à mes sources.list et je n'ai eu aucun paquet à mettre à jour après un update et un upgrade. C'est pourquoi je demande combien de temps s'écoule-t-il entre l'arrivée des correctifs chez http://security.debian.org/ et l'arrivée de ces mêmes correctifs dans les dépôts principaux main des branches stable et testing.

Pour ce qui est de contrib et non-free, si un apt update ou apt-get update ne donne pas d'erreur, ça doit être bon. Je t'invite à lire le fichier README.security tiré du mirroir Debian que j'utilise. On ne parle pas de contrib et de non-free. Pourtant leurs répertoires existent à côté des correctifs de sécurité de main. Ça doit être pour le respect de la philosophie.

j'ai trouvé ce passage concernant la sécurité sous sid, ça devrait répondre à ton interrogation

Y-a-t-il des mises à jour de sécurité pour Sid ?
Pas en tout cas de le sens habituel avec « stable ». Si le mainteneur d'un paquet corrige un bogue de sécurité et télécharge le paquet, il sera introduit dans Sid de façon ordinaire. Mais si le mainteneur ne le fait pas, il n'y aura pas de mise à jour de sécurité. L'équipe de sécurité ne s'occupe que de stable (et peut-être de « testing »... il y a un débat là-dessus).
(...)
https://wiki.debian.org/fr/DebianUnstable#Y-a-t-il_des_mises_.2BAOA_jour_de_s.2BAOk-curit.2BAOk_pour_Sid_.3F

donc ça ne sert à rien d'avoir main avec http://security.debian.org/ sous sid (voir même sous la testing)

pour contrib et non-free, tu as regardé avec vrms combien de paquets issus de ces sections tu as ? tu ne dois pas en avoir beaucoup à part flash et 2 ou 3 firmwares ou fonts...
mais il vaut mieux effectivement les ajouter avec http://security.debian.org/, ne serait ce que pour avoir rapidement les quelques correctifs sécurité concernés

sinon, avec mon sources.list, aucun message erreur quand je fais des apt-get update (sauf pour serveur inatteignable).



Modifié par Taras_Boulba le 20/03/2016 18:34
m_n
 Posté le 21/03/2016 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Mais à quoi sers de faire ses updates sur une ( Testing , Sid ) , si on ne peux pas faire d'upgrades ( no recommended) , si je me souviens bien ..

À moins que cela est changé depuis le temps ..

Je n'utilise pas de Testng .. mais si l'upgrade passe bien .. bien , Tant mieux ..

alors c'est le dist-upgrade qui n'est pas recommender .. ma mémoire me joue des tours des fois ..



Modifié par m_n le 21/03/2016 14:22
Logicien
 Posté le 21/03/2016 à 14:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour m_n,

les branches stable, testing et unstable (main, contrib et non-free) voient les versions des paquets de leurs dépôts changer plus ou moins régulièrement. Un apt update suivi d'un apt upgrade mènent la plupart du temps à une mise-à-jour de paquets Debian installés.

Les mise-à-jours de sécurité ne sont disponibles que pour la branche stable et testing. Dans les deux cas, un update suivi d'un upgrade peuvent mettre à jour des paquets de sécurité. La branche stable a la priorité de l'équipe de sécurité de Debian.

Les paquets qui sont dans le dépôt http://security.debian.org/ stable et testing aboutissent dans la section main du dépôt principal de la branche stable ou testing selon le cas. C'est pourquoi un utilisateur Debian fini toujours par avoir les mise-à-jours de sécurité même s'il n'a pas de dépôt http://security.debian.org/ dans son sources.list .

La preuve en est que, jusqu'à présent, je n'avais pas de dépôt http://security.debian.org/ dans mon sources.list. Suite à son ajout, un update suivi d'un upgrade n'a rien mis à jour. C'est que les versions des paquets dans le dépôt http://security.debian.org/ étaient également présents dans la branche principale de stable et testing.

Je n'ai pas de référence présentement comme quoi les paquets de http://security.debian.org/ aboutissent dans les branches principales stable et testing (main contrib non-free), mais tout indique que c'est le cas. Si oui, avec quelle rapidité cela se produit-il? Je reviens toujours à cette question.

Mes dernières installations de Debian se sont faites depuis ArchLinux en utilisant debootstrap. Après l'installation, le fichier /etc/apt/sources.list ne contenait que la ligne du dépôt principal de Debian. Aucune ligne http://security.debian.org/ .

Il serait intéressant de voir ce qu'une installation par CD/DVD/SD/USB écrit dans le sources.list. Si le dépôt http://security.debian.org/ est essentiel, alors il doit être actif dans le sources.list dès l'installation avant toute mise-à-jour.



Modifié par Logicien le 21/03/2016 14:31
m_n
 Posté le 21/03/2016 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Good ..

Tu viens de me donner le gout de m'amuser avec une Testing .. Merci ..

http://cdimage.debian.org/cdimage/weekly-builds/amd64/iso-cd/

le download viens de demarrer ..



Modifié par m_n le 21/03/2016 14:37
aug
 Posté le 21/03/2016 à 14:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

à tous,

En passant pour indiquer que pour ma part, j'ai ajouté Testing à ma Stable, mais je n'ai conservé les dépôts contribs non-free que sur Stable, pas sur Testing.

Les Updates et les Upgrades ne posent pas de problèmes en utilisant le terminal et en ayant, avant, installé les paquets 'apt-listbugs et apt-listchanges' via Synaptic, pour isoler les paquets bogués non encore corrigés.

m_n
 Posté le 21/03/2016 à 15:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

sur l'installation toute fraiche ..

voici ses sources,list :

#

# deb cdrom:[Debian GNU/Linux testing _Stretch_ - Official Snapshot amd64 NETINST Binary-1 20160314-06:03]/ stretch main

#deb cdrom:[Debian GNU/Linux testing _Stretch_ - Official Snapshot amd64 NETINST Binary-1 20160314-06:03]/ stretch main

deb http://ftp.us.debian.org/debian/ stretch main
deb-src http://ftp.us.debian.org/debian/ stretch main

deb http://security.debian.org/debian-security stretch/updates main
deb-src http://security.debian.org/debian-security stretch/updates main



Modifié par m_n le 21/03/2016 18:43
Logicien
 Posté le 21/03/2016 à 15:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour à tous.

m_n,

ce que tu affiches est-il le sources.list non modifié tel que l'a écrit l'installateur de Debian? Si oui alors, Debian considére le dépôt sécurité comme essentiel et moi aussi.

aug,

les paquets apt-listbugs et apt-listchanges sont bien utiles. Je lis les bugs qu'apt-listbugs repporte lors des mise-à-jours. J'installe les paquets bugés quand même. C'est trop compliqué pour moi de n'avoir que des paquets non bugés, d'autant plus que même la branche stable en contient et que les bugs sont corrigés rapidement.



Modifié par Logicien le 21/03/2016 15:56
m_n
 Posté le 21/03/2016 à 16:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

my my ..

apres essaie de apt ..

je ne le suggère pas car mon sources.list est vide ..

Oubliez ( apt ) .. maintenez-vous à ( apt-get ) ..

my my .. en plus , j'ai perdu ma barre de menu ..

on s'ennuie pas avec une Testing ..

j'ai ecris dans un terminal :

xfce4-panel

il est revenu par magie ..



Modifié par m_n le 21/03/2016 22:06
Slyvester
 Posté le 21/03/2016 à 16:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

Ci-dessous ma "sources.list" de ma Sparkylinux, distribution dérivée Debian Testing, rolling release avec environnement de bureau LXDE :

deb http://ftp.fr.debian.org/debian/ testing main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ testing main contrib non-free
deb http://security.debian.org/ testing/updates main contrib non-free
deb-src http://security.debian.org/ testing/updates main contrib non-free
deb http://ftp.fr.debian.org/debian/ testing-updates main contrib non-free
deb-src http://ftp.fr.debian.org/debian/ testing-updates main contrib non-free
# multimedia
deb http://www.deb-multimedia.org testing main non-free

On dirait bien que les mises-à-jour de sécurité sont présentes (2eme & 3eme lignes).

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Les soldes d'hiver 2025
SOLDES -1 -%
Lot de 4 Lampes solaires d'extérieur OUILA 185 LED avec détecteur de mouvement à 25,49 €
25,49 € 45 € -43%
@Amazon
SSD MSI Spatium M460 1 To (NVMe, PCIe 4.0, 5000 Mo/s) à 61,66 €
61,66 € 82 € -25%
@Amazon
PC portable Asus ROG Zephyrus G14 (14' OLED 3K 120 Hz, Ryzen 9 8945HS, 32 Go, SSD 1 To, GeForce RTX 4070, Windows 11) à 2299,99 €
2299,99 € 2799 € -18%
@Amazon
Souris gaming filaire Razer Basilisk V3 (26 000 dpi, 11 boutons) à 34,02 €
34,02 € 59,99 € -43%
@Cdiscount
PC portable 14 pouces Asus VivoBook S14 (FHD IPS, Core i5-1335U, 16 Go RAM, SSD 1 To, Windows 11) à 539,99 €
539,99 € 799,99 € -33%
@Amazon

Sujets relatifs
Prévenir la mise-à-jour d'un paquet sous Debian et dérivées
Mise à jour de ma Debian Wheezy vers Jessie
Carte wifi plus reconnue après mise à jour Debian Testing
Besoin de conseils pour mise à jour Debian Testing
Debian Wheezy HS après mise à jour
Mise-à-jour Debian Testing/Sid: Améliorations !
mise à jour des paquets sous Kubuntu
média de mise à jour sous Mandriva 2006 RC2
mise à jour (securité, correctifs) mandrake
Pb de mise à jour sous Mdk 10.0
Plus de sujets relatifs à À propos des mise-à-jours de sécurité sous Debian
 > Tous les forums > Forum Linux