E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

13. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rogerio Leiro Fontan
RLFontan

(usa elementary OS)

Enviado em 27/07/2017 - 13:21h

O tópico bugou? Não estou vendo nada na segunda página!


  


14. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rogerio Leiro Fontan
RLFontan

(usa elementary OS)

Enviado em 27/07/2017 - 13:23h

raserafim escreveu:

Me parece estar havendo aqui uma confusão conceitual:

Mirror = Espelho (tradução da palavra em inglês);

Existe o repositório oficial (hospedado nos EUA) e várias cópias desse repositório espalhados pelo mundo (são os Mirror's ou Espelhos). é uma cópia idêntica: o objetivo disso, entre outros motivos, é para que ao invés de eu utilizar um repositório nos EUA eu utilize um repositório no Brasil -- aumentando assim a velocidade de download.

Nesse sentido, no "/etc/slackpkg/mirrors" se tem o endereço do repositório oficial e uma diversidade de endereços de espelhos (mirror's) desse repositório oficial (no Brasil... no Canadá... na Itália...etc). Você escolhe então um único endereço, para que o "slackpkg" possa operar.

Existe um espelho (mirror) hospedado no domínio do AlienBOB (http://bear.alienbase.nl/mirrors/slackware/slackware-14.2/). Esse espelho é uma cópia fiel do repositório oficial -- assim o "slackpkg" pode ser configurado para utilizá-lo.

No entanto, o AlienBOB possui um outro repositório (que não tem nada a ver com o repositório oficial -- portanto não é um espelho): Esse repositório é o d Live-CD (http://bear.alienbase.nl/mirrors/slackware/slackware-live/slackware-14.2-live/)

De forma semelhante se tem com o slackbuilds.

O domínio slackbuilds.org armazenar um espelho do repositório oficial (https://mirror.slackbuilds.org/slackware/slackware-14.2/). o "slackpkg" pode ser configurado para utilizá-lo.

No entanto, a particularidade do slackbuilds.org é fornecer um conjunto de script's que permitem compilar códigos-fontes de aplicativos que não são fornecidos no repositório oficial do Slackware. Essa modalidade, portanto, não é um mirror (espelho): Não tem nada a ver com o repositório oficial. O "slackpkg" não funciona neste repositório. O que funciona nesse repositório é o "sbopkg".

Ou seja, tanto o AlienBOB quanto o slackbuilds.org estão fornecendo dois serviços diferentes cada um deles:
- um serviço de espelho (mirror) do repositório oficial;
- e um serviço que os caracteriza, particulariza, próprio...



Show de bola! Valeu!


15. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

João Batista
ryuuzaki42

(usa Slackware)

Enviado em 27/07/2017 - 13:58h

eu ia na opção EUA e ativava o espelho do Slackbuild que tem lá > http://mirror.slackbuilds.org/slackware/

Não tem Slackbluids lá.

Eu inclusive usava liberava no blacklist a expressão regular:
[0-9]+_SBo

Com ela irá "dizer" pro slackpkg ocultar os pacotes com *_SBo nos updates.

[..] slackbuilds.org [...] O "slackpkg" não funciona neste repositório. O que funciona nesse repositório é o "sbopkg".

O sbotools (https://pink-mist.github.io/sbotools/) também consegue criar/atualizar e resolver depêndencias catalogadas no Slackbluids, assim como o sbopkg. Eu prefiro o sbotools, mas isso é apenas questão de gosto.

O tópico bugou? Não estou vendo nada na segunda página!

Ontem renomeie meu apelido aqui no VoL e depois de logar novamente, mandei um comentário que não ficou visivél. Depois mandei outro igual que ficou visível. Talvez seja isso.


16. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rogerio Leiro Fontan
RLFontan

(usa elementary OS)

Enviado em 28/07/2017 - 04:21h

Senhores, muito obrigado pelas suas respostas, estão me ajudando muito, vou guardar todo esse conhecimento na minha pastinha do Slackware.

Tenho porém, ainda, uma coisa que peço que por gentileza me esclareçam:

O Security Advisories é relativo ao iso de lançamento do Slackware ou a um sistema de patches já atualizado? Veja bem qual é realmente a minha dúvida: Digamos, em um exemplo hipotético, que o Slackware tenha vindo na sua versão de lançamento com o navegador Seamonkey versão X, digamos porém, que ao longo dos updates, o Slackware tenha trazido uma atualização do Seamonkey para uma versão X.2 que seria uma nova versão do navegador. Nesse caso o Security Advisories ainda assim me avisará sobre atualizações no Seamonkey versão X ou somente sobre a versão X.2?

Obrigado!


17. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 28/07/2017 - 11:42h

RLFontan escreveu:

O Security Advisories é relativo ao iso de lançamento do Slackware ou a um sistema de patches já atualizado? Veja bem qual é realmente a minha dúvida: Digamos, em um exemplo hipotético, que o Slackware tenha vindo na sua versão de lançamento com o navegador Seamonkey versão X, digamos porém, que ao longo dos updates, o Slackware tenha trazido uma atualização do Seamonkey para uma versão X.2 que seria uma nova versão do navegador. Nesse caso o Security Advisories ainda assim me avisará sobre atualizações no Seamonkey versão X ou somente sobre a versão X.2?

O Security Advisories diz respeito à última versão lançada do Slackware (neste momento a 14.2)

Lá fica a lista de todas as atualizações de segurança que foram feitas: X2 (dia dd), X3 (dia qq), X4 (dia uu)...

Quer dizer, se mantém no Security Advisories mesmo o acumulado de versões do mesmo pacote.

(Lembrando que o Security Advisories é apenas uma lista informativa, não é um repositório. O que podemos considerar como "seu repositório" seria o diretório "patches". Nesse diretório, no entanto, fica armazenado apenas a última versão disponibilizada; neste diretório não fica armazenado o acúmulo das versões.)

No arquivo ChangeLog.txt fica a lista de todos os pacotes atualizados (os de segurança e os outros)

Ou seja, o Security Advisories é como se fosse um filtro do "ChangeLog.txt" (sendo que com estrutura de exposição diferente) apenas dos pacotes que tiveram atualizações de segurança.




18. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 28/07/2017 - 12:01h

Em complemento à minha última resposta e que talvez seja útil, é dizer o seguinte:

Todas as atualizações de pacotes que são feitas ao longo da vida útil de uma versão do Slackware ficam armazenados no diretório "patches" da árvore no repositório.

Todos os outros diretórios da árvore no repositório se mantém originais do lançamento da versão do Slackware.

Ao longo da vida útil de uma versão, praticamente, as únicas alterações na árvore do repositório são: o diretório "patches", o arquivo "ChangeLog.txt" e alguns arquivos de "checksums". o restante da árvore se mantém com o mesmo conteúdo ao longo de toda a vida da versão.





19. Estou começando a entender?

Rogerio Leiro Fontan
RLFontan

(usa elementary OS)

Enviado em 29/07/2017 - 21:22h

raserafim escreveu:

O Security Advisories diz respeito à última versão lançada do Slackware (neste momento a 14.2)



Rapaz, o que eu tenho visto aqui cutucando no Advisories é que ele na verdade diz respeito á todas versões ainda suportadas. Ele tem uma divisão relativa aos anos e no aviso em questão ele diz a que diz respeito a que versão se refere.

Tem até esse caso curioso:

http://www.slackware.com/security/viewer.php?l=slackware-security&y=2017&m=slackware-securit...

Em pleno 2017 uma Advisorie do Slackão 14.0!


Lá fica a lista de todas as atualizações de segurança que foram feitas: X2 (dia dd), X3 (dia qq), X4 (dia uu)...

Quer dizer, se mantém no Security Advisories mesmo o acumulado de versões do mesmo pacote.


Eu acho que eu estou começando a entender a brincadeira, me explique se eu estou correto por favor, tomando como exemplo o Firefox por exemplo, a questão da segurança e da atualização do software para uma nova versão meio que se misturam, de modo que as vezes o Firefox está numa versão X e recebe uma atualização de segurança permanecendo na versão X e por outras vezes ele simplesmente migra para uma versão Y, a qual ao mesmo tempo já se corrigiu os erros de segurança da versão X?


(Lembrando que o Security Advisories é apenas uma lista informativa, não é um repositório. O que podemos considerar como "seu repositório" seria o diretório "patches". Nesse diretório, no entanto, fica armazenado apenas a última versão disponibilizada; neste diretório não fica armazenado o acúmulo das versões.)

No arquivo ChangeLog.txt fica a lista de todos os pacotes atualizados (os de segurança e os outros)

Ou seja, o Security Advisories é como se fosse um filtro do "ChangeLog.txt" (sendo que com estrutura de exposição diferente) apenas dos pacotes que tiveram atualizações de segurança.


Show de bola! Acho que estou começando a entender! Então por sua vez o esquema de mudanças que citei acima, nem sempre estão relacionados com questões relacionadas a segurança, e eu posso utilizar o Security Advisories para filtrar essas questões?




20. Re: E possível manter o Slackware seguro com Security Advisories?

João Batista
ryuuzaki42

(usa Slackware)

Enviado em 29/07/2017 - 21:54h

Sim, são updates de segurança de todas versões ainda suportadas.

Esses updates são mínimos em questão de mudanças, de modo apenas a resolver o(s) problema(s) ou brecha(s) de segurança descobertas. O Firefox mesmo tem o Firefox ESR, com suporte estendido e correção de bugs. Os pacotes atualizados são recompilados, resolvendo o(s) problema(s), as vezes com um update de bug de versão, por exemplo tcpdump-4.9.0 para tcpdump-4.9.1 e outras vezes nem a versão muda, apenas é refeito o pacote e muda a tag no final do nome do mesmo (famoso Rebuilt), por exemplo squashfs-tools-4.3-x86_64-1 para squashfs-tools-4.3-x86_64-2. Com o ChangeLog.txt você saberá todas mudanças ocorridas e porque ocorreram e assim ter informações suficiente para gerenciar seu sistema de maneira simples e consciente do que está fazendo.

http://www.slackware.com/changelog/stable.php?cpu=x86_64

slackware-announce - Anúncio de novas versões
slackware-security - Todos updates de segurança para as versões ainda suportadas
ChangeLog.txt - Todos updates lançados para aquela versão, assim cada versão tem o seu.
CHANGES_AND_HINTS.TXT - Todas as mudanças feitas na última versão lançada até a Current.

Não confundir a ultima versão lançada (Stable) com a versão Current. A última lançada é a 14.2, e ela atualizada continua sendo 14.2. Já a current é o que vai ser a nova versão a ser lançada no futuro, digamos "Slackware 15". A versão Current tem mais updates e não é tão estável quanto a Stable, por ter muitos updates.



21. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 31/07/2017 - 11:07h

RLFontan escreveu:

Rapaz, o que eu tenho visto aqui cutucando no Advisories é que ele na verdade diz respeito á todas versões ainda suportadas. Ele tem uma divisão relativa aos anos e no aviso em questão ele diz a que diz respeito a que versão se refere."
Tem toda razão!! equívoco meu.

Como também disse o colega:
ryuuzaki42 escreveu:

"Sim, são updates de segurança de todas versões ainda suportadas."


RLFontan escreveu:

"Eu acho que eu estou começando a entender a brincadeira, me explique se eu estou correto por favor, tomando como exemplo o Firefox por exemplo, a questão da segurança e da atualização do software para uma nova versão meio que se misturam, de modo que as vezes o Firefox está numa versão X e recebe uma atualização de segurança permanecendo na versão X e por outras vezes ele simplesmente migra para uma versão Y, a qual ao mesmo tempo já se corrigiu os erros de segurança da versão X?"
A resposta do colega ryuuzaki42 já explica bem.

ryuuzaki42 escreveu:

"Os pacotes atualizados são recompilados, resolvendo o(s) problema(s), as vezes com um update de bug de versão, por exemplo tcpdump-4.9.0 para tcpdump-4.9.1 e outras vezes nem a versão muda, apenas é refeito o pacote e muda a tag no final do nome do mesmo (famoso Rebuilt), por exemplo squashfs-tools-4.3-x86_64-1 para squashfs-tools-4.3-x86_64-2."


RLFontan escreveu:

"Show de bola! Acho que estou começando a entender! Então por sua vez o esquema de mudanças que citei acima, nem sempre estão relacionados com questões relacionadas a segurança, e eu posso utilizar o Security Advisories para filtrar essas questões?"
Exatamente!

No ChangeLog.txt você tem todas as alterações que foram feitas nos pacotes, com a descrição do porquê dessas alterações (se foram de segurança ou não).

No Security Advisories concentram-se apenas as atualizações relativas à segurança (de todas as versões ainda suportadas separadas ano a ano) (sendo portanto uma espécie de filtro do ChangeLog.txt)

Observe o resumo dos arquivos de log que o colega ryuuzaki42 fez!:
ryuuzaki42 escreveu:

"Com o ChangeLog.txt você saberá todas mudanças ocorridas e porque ocorreram e assim ter informações suficiente para gerenciar seu sistema de maneira simples e consciente do que está fazendo.

slackware-announce - Anúncio de novas versões
slackware-security - Todos updates de segurança para as versões ainda suportadas
ChangeLog.txt - Todos updates lançados para aquela versão, assim cada versão tem o seu.
CHANGES_AND_HINTS.TXT - Todas as mudanças feitas na última versão lançada até a Current.

Não confundir a ultima versão lançada (Stable) com a versão Current. A última lançada é a 14.2, e ela atualizada continua sendo 14.2. Já a current é o que vai ser a nova versão a ser lançada no futuro, digamos "Slackware 15". A versão Current tem mais updates e não é tão estável quanto a Stable, por ter muitos updates."



22. Re: E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

Rodrigo Albuquerque Serafim
raserafim

(usa Slackware)

Enviado em 01/08/2017 - 11:04h

Mais um complemento...

Há 2 tópicos aqui no fórum (em que participei) que me parecem ajudar na compreensão de como funciona o gerenciamento de pacotes no Slackware (de uma maneira geral):

https://www.vivaolinux.com.br/topico/Slackware/Atualizacao-do-Slackware-1

https://www.vivaolinux.com.br/topico/Slackware/Slack-updates

sugiro a leitura deles..




01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts