E possível manter o Slackware seguro com Security Advisories? [RESOLVIDO]

raserafim escreveu:

Me parece estar havendo aqui uma confusão conceitual:

Mirror = Espelho (tradução da palavra em inglês);

Existe o repositório oficial (hospedado nos EUA) e várias cópias desse repositório espalhados pelo mundo (são os Mirror's ou Espelhos). é uma cópia idêntica: o objetivo disso, entre outros motivos, é para que ao invés de eu utilizar um repositório nos EUA eu utilize um repositório no Brasil -- aumentando assim a velocidade de download.

Nesse sentido, no "/etc/slackpkg/mirrors" se tem o endereço do repositório oficial e uma diversidade de endereços de espelhos (mirror's) desse repositório oficial (no Brasil... no Canadá... na Itália...etc). Você escolhe então um único endereço, para que o "slackpkg" possa operar.

Existe um espelho (mirror) hospedado no domínio do AlienBOB (http://bear.alienbase.nl/mirrors/slackware/slackware-14.2/). Esse espelho é uma cópia fiel do repositório oficial -- assim o "slackpkg" pode ser configurado para utilizá-lo.

No entanto, o AlienBOB possui um outro repositório (que não tem nada a ver com o repositório oficial -- portanto não é um espelho): Esse repositório é o d Live-CD (http://bear.alienbase.nl/mirrors/slackware/slackware-live/slackware-14.2-live/)

De forma semelhante se tem com o slackbuilds.

O domínio slackbuilds.org armazenar um espelho do repositório oficial (https://mirror.slackbuilds.org/slackware/slackware-14.2/). o "slackpkg" pode ser configurado para utilizá-lo.

No entanto, a particularidade do slackbuilds.org é fornecer um conjunto de script's que permitem compilar códigos-fontes de aplicativos que não são fornecidos no repositório oficial do Slackware. Essa modalidade, portanto, não é um mirror (espelho): Não tem nada a ver com o repositório oficial. O "slackpkg" não funciona neste repositório. O que funciona nesse repositório é o "sbopkg".

Ou seja, tanto o AlienBOB quanto o slackbuilds.org estão fornecendo dois serviços diferentes cada um deles:
- um serviço de espelho (mirror) do repositório oficial;
- e um serviço que os caracteriza, particulariza, próprio...

eu ia na opção EUA e ativava o espelho do Slackbuild que tem lá > http://mirror.slackbuilds.org/slackware/

Eu inclusive usava liberava no blacklist a expressão regular:
[0-9]+_SBo

[..] slackbuilds.org [...] O "slackpkg" não funciona neste repositório. O que funciona nesse repositório é o "sbopkg".

O tópico bugou? Não estou vendo nada na segunda página!

RLFontan escreveu:

O Security Advisories é relativo ao iso de lançamento do Slackware ou a um sistema de patches já atualizado? Veja bem qual é realmente a minha dúvida: Digamos, em um exemplo hipotético, que o Slackware tenha vindo na sua versão de lançamento com o navegador Seamonkey versão X, digamos porém, que ao longo dos updates, o Slackware tenha trazido uma atualização do Seamonkey para uma versão X.2 que seria uma nova versão do navegador. Nesse caso o Security Advisories ainda assim me avisará sobre atualizações no Seamonkey versão X ou somente sobre a versão X.2?

raserafim escreveu:

O Security Advisories diz respeito à última versão lançada do Slackware (neste momento a 14.2)

Lá fica a lista de todas as atualizações de segurança que foram feitas: X2 (dia dd), X3 (dia qq), X4 (dia uu)...

Quer dizer, se mantém no Security Advisories mesmo o acumulado de versões do mesmo pacote.

(Lembrando que o Security Advisories é apenas uma lista informativa, não é um repositório. O que podemos considerar como "seu repositório" seria o diretório "patches". Nesse diretório, no entanto, fica armazenado apenas a última versão disponibilizada; neste diretório não fica armazenado o acúmulo das versões.)

No arquivo ChangeLog.txt fica a lista de todos os pacotes atualizados (os de segurança e os outros)

Ou seja, o Security Advisories é como se fosse um filtro do "ChangeLog.txt" (sendo que com estrutura de exposição diferente) apenas dos pacotes que tiveram atualizações de segurança.

RLFontan escreveu:

Rapaz, o que eu tenho visto aqui cutucando no Advisories é que ele na verdade diz respeito á todas versões ainda suportadas. Ele tem uma divisão relativa aos anos e no aviso em questão ele diz a que diz respeito a que versão se refere."

ryuuzaki42 escreveu:

"Sim, são updates de segurança de todas versões ainda suportadas."

RLFontan escreveu:

"Eu acho que eu estou começando a entender a brincadeira, me explique se eu estou correto por favor, tomando como exemplo o Firefox por exemplo, a questão da segurança e da atualização do software para uma nova versão meio que se misturam, de modo que as vezes o Firefox está numa versão X e recebe uma atualização de segurança permanecendo na versão X e por outras vezes ele simplesmente migra para uma versão Y, a qual ao mesmo tempo já se corrigiu os erros de segurança da versão X?"

ryuuzaki42 escreveu:

"Os pacotes atualizados são recompilados, resolvendo o(s) problema(s), as vezes com um update de bug de versão, por exemplo tcpdump-4.9.0 para tcpdump-4.9.1 e outras vezes nem a versão muda, apenas é refeito o pacote e muda a tag no final do nome do mesmo (famoso Rebuilt), por exemplo squashfs-tools-4.3-x86_64-1 para squashfs-tools-4.3-x86_64-2."

RLFontan escreveu:

"Show de bola! Acho que estou começando a entender! Então por sua vez o esquema de mudanças que citei acima, nem sempre estão relacionados com questões relacionadas a segurança, e eu posso utilizar o Security Advisories para filtrar essas questões?"

ryuuzaki42 escreveu:

"Com o ChangeLog.txt você saberá todas mudanças ocorridas e porque ocorreram e assim ter informações suficiente para gerenciar seu sistema de maneira simples e consciente do que está fazendo.

slackware-announce - Anúncio de novas versões
slackware-security - Todos updates de segurança para as versões ainda suportadas
ChangeLog.txt - Todos updates lançados para aquela versão, assim cada versão tem o seu.
CHANGES_AND_HINTS.TXT - Todas as mudanças feitas na última versão lançada até a Current.

Não confundir a ultima versão lançada (Stable) com a versão Current. A última lançada é a 14.2, e ela atualizada continua sendo 14.2. Já a current é o que vai ser a nova versão a ser lançada no futuro, digamos "Slackware 15". A versão Current tem mais updates e não é tão estável quanto a Stable, por ter muitos updates."