مقایسه امنیت توزیع ها ، مخصوصا دبیان و فدورا و آرچ

[yahya.musavi]

با سلام
یک موضوع فکرم رو درگیر کرده و اون این است که :
توزیعی مثل دبیان و فدورا تیم امنیتی بزرگی دارن و هر چی باشه این توزیعها برای سرور خوب هستن و استفاده زیادی دارن البته می دونم که فدورا از طرف Red Hat پشتیبانی می شه. در کل اینکه سرورها بیشتر در خطر هستن و بخاطر همین تیم امنیتی دبیان و Red Hat بزرگن.
دبیان خوبی که داره اینه که تعداد بسته های نرم افزاری اون در مخازن زیاد است و جامعه که از اون پشتیبانی می کنن به نوعی کل این بسته ها رو از نظر امنیتی و پایداری چک می کنن.(مخصوصا از نظر امنیتی مهمه)
در فدورا تعداد بسته های نرم افزاری اون، در مخازن اصلی اون به دبیان نمی رسه، برای مثال جهت نصب کدک های صوتی و تصویری باید مخازن غیر رسمی رو وارد کنیم و به مخازن غیر رسمی اعتمادی نیست. ولی در کل جدای از مخازن غیر رسمی، چون برای سرور اماده می شه، امنیتش خوبه.

اما در توزیعی مثل آرچ، در مخازن رسمی اون به مانند دبیان بسیاری از نرم افزار ها وجود دارد(من به مخازن aur کاری ندارم) ولی من بیشتر سایتها که خوندم گفته بودن که آرچ زیاد تو خط وصله های امنیتی نرم افزارها نیست بلکه این کار رو به سازندگان نرم افزارها  اختصاص داده لذا باید به سازندگان نرم افزارها(جدای از اینکه نرم افزار آزاد باشه)باید اعتماد کرد ضمن اینکه آرچ به مانند دبیان و red hat برای سرور زیاد کاربرد نداره چون بحث ناپایداری پیش میاد و سرورها هم بیشتر در معرض خطر هستن.
این رو می دونم که نرم افزار که آزاد باشه ،اگر باگ امنیتی پیش بیاد ، چون یک جامعه سورس نرم افزار رو نگاه می کنن پس  مثلا در کل توزیع ها ی آزاد نیز ،اون باگ رو رفع می کنن.

(البته مهم اینه که چه توزیعی سریعتر اون باگ رو رفع کنه و جامعه اون توزیع بیدارتر باشن و خبر به گوششون برسه))

من احساس می کنم از این نگاه دبیان برای کاربر خانگی از هر نظر ،مخصوصا از نظر امنیتی ،بسیار بهتر باشه. که توزیع هایی که زیر مجموعه دبیان هستند رو هم شامل میشه مخصوصا توزیع اوبونتو.
بعد از دبیان بنظرم فدورا از این نظر خوبه که opensuse رو هم شامل میشه.
اما آرچ رو که در بالا از نگاه خودم، توزیع دادم رو از لحاظ امنیتی و پایداری نسبت به دبیان و فدورا خوب نمی بینم.
نظر اساتید رومی خواستم بدونم که یک خورده برام توضیح بدهند، تا اگر من اشتباه می کنم، این مدل دید و نگاه رو تغییر بدم.

[Nelliel]

اما در توزیعی مثل آرچ، در مخازن رسمی اون به مانند دبیان بسیاری از نرم افزار ها وجود دارد(من به مخازن aur کاری ندارم) ولی من بیشتر سایتها که خوندم گفته بودن که آرچ زیاد تو خط وصله های امنیتی نرم افزارها نیست بلکه این کار رو به سازندگان نرم افزارها  اختصاص داده لذا باید به سازندگان نرم افزارها(جدای از اینکه نرم افزار آزاد باشه)باید اعتماد کرد ضمن اینکه آرچ به مانند دبیان و red hat برای سرور زیاد کاربرد نداره چون بحث ناپایداری پیش میاد و سرورها هم بیشتر در معرض خطر هستن.
این رو می دونم که نرم افزار که آزاد باشه ،اگر باگ امنیتی پیش بیاد ، چون یک جامعه سورس نرم افزار رو نگاه می کنن پس  مثلا در کل توزیع ها ی آزاد نیز ،اون باگ رو رفع می کنن.

من کاربر و طرفدار آرچ لینوکس هستم, امنیت و پایداری نسبی هست من می‌تونم دبیان را تا حد عجیبی ناپایدار و آرچ را فوق العاده پایدار کنم پس اینکه بگیم توزیع‌های بزرگ ناپایدار هستند عملا اشتباه هست, آرچ به امنیت و پایداری بسته‌ها اهمیت فوق العاده زیادی میده اما متاسفانه جا افتاده ممکنه شما آرچ را آپدیت کنی و بالا نیاد اما برای مثال توی همین انجمن بار‌ها دیدیم پست زدن مشکلات من بعد از آپگرید به اوبونتو نسخه‌ی فلان در صورتی که من هر دو روز یک بار سیستمم را باید آپگرید کنم و هر روز هم بالا میاد و این حرف کاملا اشتباهه که من آرچ آپدیت کنم بالا نمیاد, آرچ حداقل از خیلی از توزیع‌هایی که ادعای پایداری می‌کنن پایدارتره (کاری به برتری‌های پکمن و AUR و .. آرچ نداریم فعلا).

برای اینکه بگیم آرچ از نظر پایداری ضعیفه باید کاربر آرچ باشیم و به اون سیستم عامل مسلط باشیم, به نقل از سلمان عزیز در همین انجمن "برای مقایسه‌ی دو سیستم عامل باید بر هر دوی آن‌ها مسلط باشیم" پس اگر به آرچ مسلط باشیم می‌تونیم بگیم ناپایدار یا پایدار یا ... هست و من به عنوان کسی که کاملا بر آرچ مسلطه می‌گم "آرچ پایدار هست مگر اینکه با کار‌های اشتباه آن را خراب کنیم"

مخازن آرچ از جهات مختلف یه جور دسته بندی می‌شوند از نظر امنیت و پایداری آرچ سه نوع مخزن داره:

کد: [انتخاب]

[hossein@ArchLinux ~]$ cat /etc/pacman.conf
#
# /etc/pacman.conf
#
# See the pacman.conf(5) manpage for option and repository directives

#
# GENERAL OPTIONS
#
[options]
# The following paths are commented out with their default values listed.
# If you wish to use different paths, uncomment and update the paths.
#RootDir     = /
#DBPath      = /var/lib/pacman/
#CacheDir    = /var/cache/pacman/pkg/
#LogFile     = /var/log/pacman.log
#GPGDir      = /etc/pacman.d/gnupg/
#HookDir     = /etc/pacman.d/hooks/
HoldPkg     = pacman glibc
#XferCommand = /usr/bin/curl -C - -f %u > %o
#XferCommand = /usr/bin/wget --passive-ftp -c -O %o %u
#CleanMethod = KeepInstalled
#UseDelta    = 0.7
Architecture = auto

# Pacman won't upgrade packages listed in IgnorePkg and members of IgnoreGroup
#IgnorePkg   =
#IgnoreGroup =

#NoUpgrade   =
#NoExtract   =

# Misc options
#UseSyslog
#Color
#TotalDownload
CheckSpace
#VerbosePkgLists

# By default, pacman accepts packages signed by keys that its local keyring
# trusts (see pacman-key and its man page), as well as unsigned packages.
SigLevel    = Required DatabaseOptional
LocalFileSigLevel = Optional
#RemoteFileSigLevel = Required

# NOTE: You must run `pacman-key --init` before first using pacman; the local
# keyring can then be populated with the keys of all official Arch Linux
# packagers with `pacman-key --populate archlinux`.

#
# REPOSITORIES
#   - can be defined here or included from another file
#   - pacman will search repositories in the order defined here
#   - local/custom mirrors can be added here or in separate files
#   - repositories listed first will take precedence when packages
#     have identical names, regardless of version number
#   - URLs will have $repo replaced by the name of the current repo
#   - URLs will have $arch replaced by the name of the architecture
#
# Repository entries are of the format:
#       [repo-name]
#       Server = ServerName
#       Include = IncludePath
#
# The header [repo-name] is crucial - it must be present and
# uncommented to enable the repo.
#

# The testing repositories are disabled by default. To enable, uncomment the
# repo name header and Include lines. You can add preferred servers immediately
# after the header, and they will be used before the default mirrors.

#[testing]
#Include = /etc/pacman.d/mirrorlist

[core]
Include = /etc/pacman.d/mirrorlist

[extra]
Include = /etc/pacman.d/mirrorlist

#[community-testing]
#Include = /etc/pacman.d/mirrorlist

[community]
Include = /etc/pacman.d/mirrorlist

# If you want to run 32 bit applications on your x86_64 system,
# enable the multilib repositories as required here.

#[multilib-testing]
#Include = /etc/pacman.d/mirrorlist

[multilib]
Include = /etc/pacman.d/mirrorlist

# An example of a custom package repository.  See the pacman manpage for
# tips on creating your own repositories.
#[custom]
#SigLevel = Optional TrustAll
#Server = file:///home/custompkgs
[archlinuxfr]
SigLevel = Never
Server = http://repo.archlinux.fr/$arch


همون طور که می‌بینید مخزن Test من به صورت پیش فرض کامنت هست یعنی اینکه نرم‌افزار‌های سیستم من همه تست شده و سالم هستند و اینطوری نیست که آپگرید کنم سیستم بالا نیاد!

آرچ برای سرور کاملا مناسبه یعنی اگر کسی بر روی سرورش آرچ نصب کنه دچار مشکل نمی‌شود اما من خودم آرچ را برای سرور پیشنهاد نمی‌دهم چون حال و حوصله‌ی آپدیت را روی سرور ندارم.

یکی از دوستانم سه سال سرورش که آرچ روش نصبه دان نشده و راضی هست اما شما باید خیلی بر روی آپدیت‌های سیستمت مسلط باشی که آرچ روش نصب کنی مثلا نسخه‌ی جدید PHP یعنی PHP7 باعث شد بعضی سرور‌هایی که روشون آرچ نصب هست و وردپرس ارائه می‌کنند دچار مشکل شوند چون مدیرسیستم تنبل آپدیت‌ها را چک نکرده و فقط دستور آپدیت زده و بعدم PHP5 شده PHP7 و نرفته کانفیگ آپاچی را دست کاری کنه!

موفق باشید

[yahya.musavi]

عزیز گرامی جناب آقای حیدری من از امنیت صحبت کردم ودر جملاتم کاری به پایداری ندارم البته این رو هم بدون که کسی که سرور نصب میکنه ۲۴ ساعته نشسته نیست که مثلا بدونه کدوما رو اپدیت کنه.
اگر بنا بر مثال است که من خودم دیدم کسی که آرچ رو برای سرور انتخاب کرده چه بلایی سر سرور در اورد و ماهها منتظر طرف بودن که از مسافرت بیاد خودش که مسئول اینکار است درستش کنه.

بحث از تسلط داشتن و یا امتحان کردن توزیع نیست بحث سر امنیت توزیع برای کاربر خانگی است.
لطفا جملات رو بهتر بخوانید و در هنگام خواندن تعصب رو دور کنید چون تعصب باعث می شه در نتیجه گیری دچار مشکل شوید و  به طرف مقابل بحث دیگری رو نسبت دهید. من این انجمن رو زیاد مطالعه می کنم و قبلا هم گفتم که بحثی که شما وارد شدید ، طرف مقابلتان را به موضوع دیگری نسبت داده اید و طرف مقابل نیز کلا با این مدل برخورد دلخور می شه.(البته واکنش افراد متفاوته)
برای یکی از کاربران گفته بود می خواهم ببینم اوبونتو ۱۶.۰۴ رو کسی نصب کرده اسکرین برام قرار بده ببینم و در ادامه دقیقا گفته بود: (میخاهم ظاهرش اگه دلچسب بود بنصبم.)
در کل می خواست بفهمه آیا میزکار یونیتی تغییری از نظر ظاهری داره.
اما شما در جواب گفته بودین:
(ظاهرش همون ظاهر قبلی هست, خوب بودن به ظاهر نیست)
طرف کی گفته بود خوب بودن به ظاهر است.
http://forum.ubuntu.ir/index.php/topic,134586.msg1075571.html#msg1075571
طرف شاید بدش نخورده باشه اما رفتار افراد متفاوت است شاید کسی دیگری دوست نداره با این مدل رفتار جواب رو ببینه.البته نیت جواب دهنده باید خوب باشه.

[Nelliel]

اصلا به من ربطی نداره که اینجا پست بذارم اگر جواب‌ بقیه را می‌خوای هر کسی ممکنه یه چیزی بگه اما اگر دنبال اینه که یه یه چیزی بگی . بعد هر کس هر چیزی گفت باهاش مخالفت کنی خب اصلا نپرس امنیت نسبی هست من می‌تونم ویندوز XP را امن و دبیان را ناامن کنم و مثلا همه‌‌ی پورت‌ها را باز کنم و سرویس sshd را enable کنم یا ... و کلا حرفم اینه امنیت ربطی به توزیع نداره 

اگر بنا بر مثال است که من خودم دیدم کسی که آرچ رو برای سرور انتخاب کرده چه بلایی سر سرور در اورد و ماهها منتظر طرف بودن که از مسافرت بیاد خودش که مسئول اینکار است درستش کنه.

دقیقا همینطوره! اون یارو بد کانفیگ کرده و یکی خوب کانفیگ کرده و مشکلی براش پیش نیومده پس مهم اینه که بدونیم داریم چیکار می‌کنیم تا اینکه دنبال توزیع‌ باشیم که خودش معجزه کنه به شخصه برای سرور اوبونتو را پیشنهاد می‌دم

[yahya.musavi]

اگر دنبال اینه که یه یه چیزی بگی . بعد هر کس هر چیزی گفت باهاش مخالفت کنی خب اصلا نپرس

عزیز باز دوختی و بافتی البته خوبه "اگر" رو اضافه کردی.
من هم نخواستم شما این مدل جواب بدین

دقیقا همینطوره! اون یارو بد کانفیگ کرده و یکی خوب کانفیگ کرده و مشکلی براش پیش نیومده پس مهم اینه که بدونیم داریم چیکار می‌کنیم تا اینکه دنبال توزیع‌ باشیم که خودش معجزه کنه

شما چطور تشخیص دادین اون نفر خوب کانفیگ نکرده؟ باز هم رفتیم سر مقصد اول

به شخصه برای سرور اوبونتو را پیشنهاد می‌دم

من گفتم برای کابر خانگی .
کی گفتم در موضوع ،برای سرور پیشنهاد بدهید؟

[Nelliel]

حالا می‌فهمم چرا RASOOL و ARCUSH می‌گفتن دیگه اینجا لاگین نمی‌کنیم.

ویرایش:

https://wiki.archlinux.org/index.php/Security

[yahya.musavi]

بحث مقایسه امنیت بود.
بازم خیلی ممنون که این سری جوابتون به بحث نزدیک بود
برای مقایسه این لینک خوبه:
https://en.wikipedia.org/wiki/Comparison_of_Linux_distributions

حالا می‌فهمم چرا RASOOL و ARCUSH می‌گفتن دیگه اینجا لاگین نمی‌کنیم.

بسیار ممنونم آقای حیدری.

[رسول سعیدنژاد]

بحث نکنین 
طبیعتا من هم آرچ کار کردم و هم دبیان که باعث شده اینجا کامنت بدم 

دبیان امن تر و پایدار تر
آرچ جدیدتر و به روز تر

بخوای به ویژگی های اولی برسی باید ویژگی های دومی رو فدا کنی. دومی رو بخوای باید اولی فدا بشه.
البته نه مطلق، کاملا نسبی 

امنیت و پایداری دبیان خیلی عالیه.
امنیت و پایداری آرچ هم خیلی خوبه. (اگه هرچیزی دستت رسید نصب نکنی، میتونه مثل دبیان بشه)

جدید بودن و بروز بودن آرچ خیلی عالیه.
جدید بودن و بروز بودن دبیان خیلی خوبه. (با مخازن ناپایدارش میشه مثل آرچ)

من چون دنبال یه توزیع کاملا آزاد میگردم و از تند تند آپدیت کردن هم خوشم نمیاد (نخوای هم تند تند آپدیت کنی، سیستم به خطر می افته)، میگم دبیان خوبه. چون دبیان آپدیت هاش دیر به دیر ولی به موقع میاد و هر زمان که آپدیت کنی نه خرج زیادی برات برمیداره و نه دیگه نگران امنیتت هستی. دو سه هفته ای یه آپدیت مهم میاد (بستگی هم داره!) و همونو که بگیری حله. و مهم تر استفاده‌ی دبیان از لینوکس لیبره (لینوکس آزاد) که باعث میشه من به آرچ ترجیحش بدم.
وگرنه اگه آزادی (در این حد!) برام مهم نبود و یه اینترنت مفتی هم داشتم، آرچ هم میتونست گزینه‌ی بی برو برگردی! باشه 
در هر صورت کسایی که میرن آرچ، دیگه سراغ هیچی دیگه نمیرن. کسایی هم که میرن دبیان بازم سراغ هیچی دیگ نمیرن. مثل جنگ بین emacs و vim هست یه جورایی 
فقط فلسفه ها و نیازهای ماس که باعث میشه یکی از این دوتارو انتخاب کنیم. هر دو امن، هر دو پایدار، هر دو جدید و به روز. منتها توی هر کدوم از این ویژگی ها، یکیش بیشتره یکیش کمتر از بیشتره. 

[yahya.musavi]

آقا رسول عزیز خیلی ممنونم
منطقی ترین نوع جواب رو گرفتم که خارج از تعصب بود.
واقعا سپاس فراوان

[رسول سعیدنژاد]

آقا رسول عزیز خیلی ممنونم
منطقی ترین نوع جواب رو گرفتم که خارج از تعصب بود.
واقعا سپاس فراوان

البته من براساس نوع دبیانی که نصب میکنم، اینارو گفتم.
شما فرض کن اوبونتو یونیتی داری. یه میزکار کامل گنومی + کلی برنامه و سرویس عمومی دراختیارته. ولی هیچ کدوم از اینا توی آرچ نیست. چرا؟ چون آرچ میذاره خودت هرچی دوست داشتی نصب کنی و فقط باهاش میشه ابزارهای ضروری که اگه نباشن، سیستمت اصلا بوت نمیشه! رو پیشفرض داشت.
اینکه میگن آرچ پایداره واسه همینه. چون فرضا شما توی توزیعت که ۲۰۰۰ تا بسته داری و کلی تم و آیکن و مدیرپنجره و ابزارهای کار با تکست و عکس و فیلم و ... و همین طور سرویس های مختلف و کانفیگ هایی که توسعه دهنده ها ترجیح دادن که انجام بدن، و همین طور نصب کردن برنامه های اضافی‌ای که خود کاربر انجام میده، باعث یه سری ناهماهنگی ها ممکنه بشه. ممکن هم هست نشه!
برای همین خیلیا مثلا سیستمشون با توزیع هایی مثل اوبونتو یونیتی و ... ممکن بود کند باشه. گیر کنه. لگ بزنه. یه سری برنامه‌ داشته باشن که نیاز ندارن و از قضا همونا مشکل پیدا میکنن و گریبان گیر میشن (تر و خشک با هم میسوزه) و .. که باعث شده آرچیا بگن آرچ خیلی پایداره. طبیعتا گنولینوکسی که روش ابزارهای غیرضروری نصب نیست و کانفیگ ها شفاف و سرراست هستن، بایدم پایدار باشه. مثل دبیانی که من نصب میکنم
http://ubuntunews.ir/install-ubuntu-1510-with-debootstrap/
هیچ فرقی با نصب آرچ نداره و عین همن بعد از نصب 

بنابراین از نظر کسی که توزیعش رو مثل آرچ نصب میکنه، میتونه بدون تعصب، ادعای پایداری رو داشته باشه. من الان اوبونتو ۱۵٫۱۰ دارم و با همین روش پایداری و امنیتش عالیه. چون نرم افزار اضافی ندارم که اگه باگ داشته باشن به ضرر بشه. کانفیگ هاش رو خودم با همین سطح دانش (هرچند اندک) که داشتم، تغییر دادم و خب مشکلی هم ندارم.
حالا اگه شما بیایی فرضا توزیعی برپایه ‌ی آرچ مثل آنترگوس  رو نصب کنی، اون موقع دیگه نمیتونی بگی پایداری و امنیت آنترگوس همیشه از اوبونتو بیشتره. مثل همن دیگه! وقتی روی اون گنومه روی اینم گنومه. نهایتا اگه آنترگوس کرنل رو جوری تغییر داده باشه که فرضا وایرلست راحت تر شناخته بشه یا بیاد بسته هایی مثل کدک ها و فلش و ... رو اضافه کنه به صورت پیشفرض، یه عده بیان بگن آنترگوس بهتره! ولی این بحثا فقط زمانی پیش میاد که ما با یه توزیع از پیش ساخته شده طرف باشیم.
شما آرچ رو نصب کن یه مدت
دبیان رو هم با اون روشی که لینک دادم نصب کن
ببینم بعدش میتونی بگی کدوم بهتره 
وقتی به این مرحله برسی، دیگه هیچی برات مهم تر از گنو بودنشون نیست. گنو بودن و فلسفه‌شون.

[سید وحید رضا برهانی]

با سلام


اما در توزیعی مثل آرچ، در مخازن رسمی اون به مانند دبیان بسیاری از نرم افزار ها وجود دارد(من به مخازن aur کاری ندارم) ولی من بیشتر سایتها که خوندم گفته بودن که آرچ زیاد تو خط وصله های امنیتی نرم افزارها نیست بلکه این کار رو به سازندگان نرم افزارها  اختصاص داده لذا باید به سازندگان نرم افزارها(جدای از اینکه نرم افزار آزاد باشه)باید اعتماد کرد ضمن اینکه آرچ به مانند دبیان و red hat برای سرور زیاد کاربرد نداره چون بحث ناپایداری پیش میاد و سرورها هم بیشتر در معرض خطر هستن.
این رو می دونم که نرم افزار که آزاد باشه ،اگر باگ امنیتی پیش بیاد ، چون یک جامعه سورس نرم افزار رو نگاه می کنن پس  مثلا در کل توزیع ها ی آزاد نیز ،اون باگ رو رفع می کنن.

(البته مهم اینه که چه توزیعی سریعتر اون باگ رو رفع کنه و جامعه اون توزیع بیدارتر باشن و خبر به گوششون برسه))

من احساس می کنم از این نگاه دبیان برای کاربر خانگی از هر نظر ،مخصوصا از نظر امنیتی ،بسیار بهتر باشه. که توزیع هایی که زیر مجموعه دبیان هستند رو هم شامل میشه مخصوصا توزیع اوبونتو.
بعد از دبیان بنظرم فدورا از این نظر خوبه که opensuse رو هم شامل میشه.
اما آرچ رو که در بالا از نگاه خودم، توزیع دادم رو از لحاظ امنیتی و پایداری نسبت به دبیان و فدورا خوب نمی بینم.
نظر اساتید رومی خواستم بدونم که یک خورده برام توضیح بدهند، تا اگر من اشتباه می کنم، این مدل دید و نگاه رو تغییر بدم.

سلام
ببین،  ما مصرف کننده ها همیشه مجبوریم که به سازندگان اعتماد کنیم. مثلا شما وقتی دبیان رو نصب می کنی مجبوری به توسعه دهندگان دبیان اعتماد کنی.
در کل باید بدونی که آرج فلسفه داره یعنی یک رفتار خاصی داره. آرچ نمی خواد بهترین باشه یا امن ترین باشه آرچ فقط می خواد اصل kiss رو رعایت کنه (البته گاهی وقت ها هم می زنه زیرش) می خواد روی لبه ی تکنولوژی باشه.
و خب موضوع دیگه اینکه معمولا نرم افزارهای جدید باگ های قبلی رو پچ می کنند. وقتی که باگ openssl یا shellshock پچ شد در عرض چند ساعت (اگر اشتباه نکنم کمتر از سه ساعت بود) که به نسخه ی جدید اپدیت شدند. و توی مخازن رفتند.
 منم قبول دارم که آرچ برای سرور یکمی وقت گیره (چون خیلی از چیزهاش از قبل آماده نیست. البته من Arch server رو امتحان نکردم) ولی ناامن و ناپایدار نیست من خودم نزدیک یکسال روی سرور آرچ داشتم و خیلی هم خوب بود.
در آخر اینکه کاربر خانگی اونقدرها امنیت نمی خواد. می خواد؟ نهایتش رمزنگاری کردن پارتیشن home و روت کافیه.(لااقل برای من که کافیه)

[دانیال بهزادی]

خب این‌ها روششون برای امنیت با هم فرق داره.
توزیع‌های غلطان همیشه به روزن، پس همیشه وصله‌های امنیتی رو دریافت می‌کنن فوری.
توزیع‌های ارائه‌ای باید وصله‌های امنیتی برنامه‌های ارائه‌های مورد پشتیبانی رو بک‌پورت کنن، پس نیاز به تیم امنیتی دارن که این کار رو بکنه.

[yahya.musavi]

خب این‌ها روششون برای امنیت با هم فرق داره.
توزیع‌های غلطان همیشه به روزن، پس همیشه وصله‌های امنیتی رو دریافت می‌کنن فوری.
توزیع‌های ارائه‌ای باید وصله‌های امنیتی برنامه‌های ارائه‌های مورد پشتیبانی رو بک‌پورت کنن، پس نیاز به تیم امنیتی دارن که این کار رو بکنه.

سپاس فراوان
الان کلا فهمیدم ماجرارو.
کلا رفع ابهام شد برای من.

[s27]

اما در توزیعی مثل آرچ، در مخازن رسمی اون به مانند دبیان بسیاری از نرم افزار ها وجود دارد(من به مخازن aur کاری ندارم) ولی من بیشتر سایتها که خوندم گفته بودن که آرچ زیاد تو خط وصله های امنیتی نرم افزارها نیست بلکه این کار رو به سازندگان نرم افزارها  اختصاص داده لذا باید به سازندگان نرم افزارها(جدای از اینکه نرم افزار آزاد باشه)باید اعتماد کرد ضمن اینکه آرچ به مانند دبیان و red hat برای سرور زیاد کاربرد نداره چون بحث ناپایداری پیش میاد و سرورها هم بیشتر در معرض خطر هستن.
این رو می دونم که نرم افزار که آزاد باشه ،اگر باگ امنیتی پیش بیاد ، چون یک جامعه سورس نرم افزار رو نگاه می کنن پس  مثلا در کل توزیع ها ی آزاد نیز ،اون باگ رو رفع می کنن.

من کاربر و طرفدار آرچ لینوکس هستم, امنیت و پایداری نسبی هست من می‌تونم دبیان را تا حد عجیبی ناپایدار و آرچ را فوق العاده پایدار کنم پس اینکه بگیم توزیع‌های بزرگ ناپایدار هستند عملا اشتباه هست, آرچ به امنیت و پایداری بسته‌ها اهمیت فوق العاده زیادی میده اما متاسفانه جا افتاده ممکنه شما آرچ را آپدیت کنی و بالا نیاد اما برای مثال توی همین انجمن بار‌ها دیدیم پست زدن مشکلات من بعد از آپگرید به اوبونتو نسخه‌ی فلان در صورتی که من هر دو روز یک بار سیستمم را باید آپگرید کنم و هر روز هم بالا میاد و این حرف کاملا اشتباهه که من آرچ آپدیت کنم بالا نمیاد, آرچ حداقل از خیلی از توزیع‌هایی که ادعای پایداری می‌کنن پایدارتره (کاری به برتری‌های پکمن و AUR و .. آرچ نداریم فعلا).

برای اینکه بگیم آرچ از نظر پایداری ضعیفه باید کاربر آرچ باشیم و به اون سیستم عامل مسلط باشیم, به نقل از سلمان عزیز در همین انجمن "برای مقایسه‌ی دو سیستم عامل باید بر هر دوی آن‌ها مسلط باشیم" پس اگر به آرچ مسلط باشیم می‌تونیم بگیم ناپایدار یا پایدار یا ... هست و من به عنوان کسی که کاملا بر آرچ مسلطه می‌گم "آرچ پایدار هست مگر اینکه با کار‌های اشتباه آن را خراب کنیم"

مخازن آرچ از جهات مختلف یه جور دسته بندی می‌شوند از نظر امنیت و پایداری آرچ سه نوع مخزن داره:

کد: [انتخاب]

[hossein@ArchLinux ~]$ cat /etc/pacman.conf
#
# /etc/pacman.conf
#
# See the pacman.conf(5) manpage for option and repository directives

#
# GENERAL OPTIONS
#
[options]
# The following paths are commented out with their default values listed.
# If you wish to use different paths, uncomment and update the paths.
#RootDir     = /
#DBPath      = /var/lib/pacman/
#CacheDir    = /var/cache/pacman/pkg/
#LogFile     = /var/log/pacman.log
#GPGDir      = /etc/pacman.d/gnupg/
#HookDir     = /etc/pacman.d/hooks/
HoldPkg     = pacman glibc
#XferCommand = /usr/bin/curl -C - -f %u > %o
#XferCommand = /usr/bin/wget --passive-ftp -c -O %o %u
#CleanMethod = KeepInstalled
#UseDelta    = 0.7
Architecture = auto

# Pacman won't upgrade packages listed in IgnorePkg and members of IgnoreGroup
#IgnorePkg   =
#IgnoreGroup =

#NoUpgrade   =
#NoExtract   =

# Misc options
#UseSyslog
#Color
#TotalDownload
CheckSpace
#VerbosePkgLists

# By default, pacman accepts packages signed by keys that its local keyring
# trusts (see pacman-key and its man page), as well as unsigned packages.
SigLevel    = Required DatabaseOptional
LocalFileSigLevel = Optional
#RemoteFileSigLevel = Required

# NOTE: You must run `pacman-key --init` before first using pacman; the local
# keyring can then be populated with the keys of all official Arch Linux
# packagers with `pacman-key --populate archlinux`.

#
# REPOSITORIES
#   - can be defined here or included from another file
#   - pacman will search repositories in the order defined here
#   - local/custom mirrors can be added here or in separate files
#   - repositories listed first will take precedence when packages
#     have identical names, regardless of version number
#   - URLs will have $repo replaced by the name of the current repo
#   - URLs will have $arch replaced by the name of the architecture
#
# Repository entries are of the format:
#       [repo-name]
#       Server = ServerName
#       Include = IncludePath
#
# The header [repo-name] is crucial - it must be present and
# uncommented to enable the repo.
#

# The testing repositories are disabled by default. To enable, uncomment the
# repo name header and Include lines. You can add preferred servers immediately
# after the header, and they will be used before the default mirrors.

#[testing]
#Include = /etc/pacman.d/mirrorlist

[core]
Include = /etc/pacman.d/mirrorlist

[extra]
Include = /etc/pacman.d/mirrorlist

#[community-testing]
#Include = /etc/pacman.d/mirrorlist

[community]
Include = /etc/pacman.d/mirrorlist

# If you want to run 32 bit applications on your x86_64 system,
# enable the multilib repositories as required here.

#[multilib-testing]
#Include = /etc/pacman.d/mirrorlist

[multilib]
Include = /etc/pacman.d/mirrorlist

# An example of a custom package repository.  See the pacman manpage for
# tips on creating your own repositories.
#[custom]
#SigLevel = Optional TrustAll
#Server = file:///home/custompkgs
[archlinuxfr]
SigLevel = Never
Server = http://repo.archlinux.fr/$arch


همون طور که می‌بینید مخزن Test من به صورت پیش فرض کامنت هست یعنی اینکه نرم‌افزار‌های سیستم من همه تست شده و سالم هستند و اینطوری نیست که آپگرید کنم سیستم بالا نیاد!

آرچ برای سرور کاملا مناسبه یعنی اگر کسی بر روی سرورش آرچ نصب کنه دچار مشکل نمی‌شود اما من خودم آرچ را برای سرور پیشنهاد نمی‌دهم چون حال و حوصله‌ی آپدیت را روی سرور ندارم.

یکی از دوستانم سه سال سرورش که آرچ روش نصبه دان نشده و راضی هست اما شما باید خیلی بر روی آپدیت‌های سیستمت مسلط باشی که آرچ روش نصب کنی مثلا نسخه‌ی جدید PHP یعنی PHP7 باعث شد بعضی سرور‌هایی که روشون آرچ نصب هست و وردپرس ارائه می‌کنند دچار مشکل شوند چون مدیرسیستم تنبل آپدیت‌ها را چک نکرده و فقط دستور آپدیت زده و بعدم PHP5 شده PHP7 و نرفته کانفیگ آپاچی را دست کاری کنه!

موفق باشید

http://www.techrepublic.com/blog/10-things/10-reasons-why-you-should-give-slackware-linux-a-chance/

[M!lad]

http://www.techrepublic.com/blog/10-things/10-reasons-why-you-should-give-slackware-linux-a-chance/

البته کسانی که ارچ نصب میکنند عموما مینیمالیست هستند و اسلکور کاملا نقطه مقابل... فلسفه‌اش، خود اسمشه.
از طرف دیگه بسته ها رو تاجایی که من خاطرم هست مستقیم از آپ‌استریم وارد نمی‌کنند و تیمشون بک پورتینگ انجام میده و خیلی هم تعدادشون کمه، بسته‌هایی که خودتون نصب می‌کنید هم که دیگه پچ کردن یا به روز کردنشون به آخرین نسخه به عهده خودتونه.
هندل کردن دیپندنسی ها هم که خودش ...

من شدیدا اسلکور رو دوست دارم ولی خوب اینا تو اون مقاله نبود باید میگفتم.