从源代码编译软件的补丁管理

Question

我正在研究如何在ubuntu或debian中为intranet构建一个lamp服务器。我看到的几乎所有东西都建议从源代码构建，对所有组件进行着色，这样做是为了安全性和最新版本的所有东西。对于特定的包(apache、mysql、php)，我会更好地坚持使用debian/ubuntu包吗？客户端是微软产品的核心，这是该公司首次尝试大规模使用linux，所以我希望能够向管理层展示一些非常坚实的东西。

Answer 1

我想说的是，只需从发行版中安装默认包即可。如果要更改apache安装的颜色，可以安装mod_chroot包。在Debian/Ubuntu中，这将是libapache2-mod-chroot。

就最新情况而言，只要确保使用支持的OS版本(例如Debian或Ubuntu )，就可以在sources.list中激活安全存储库，并定期更新包。

如果你的客户是微软的粉丝，他肯定不习惯从源头构建东西，使用已经包装好的产品也不会让他感到震惊。如果您是从源代码构建的，只需知道您必须自己遵循安全建议，并且每次进行修补和重新构建软件，而不仅仅是升级包。

我知道周围有很多“安全”怪胎，他们说你应该从源头构建所有东西，把所有的东西都放进色度里，然后把你的电脑锁在银行保险箱里。我看到的主要问题是，它不一定会增加您的安全性，但是它肯定会使您的管理变得非常困难(在上一段中刚刚解释了原因)，最终它将比使用标准包并保持最新的配置更加安全。

Answer 2

使用发行版中的包几乎总是更好。

1. 它们很容易用标准工具(apt等)进行更新。甚至可以自动完成。
2. 这些软件包已经过测试；不太可能以某种奇怪的方式破坏。
3. 所有依赖项都会自动为您处理。
4. 记录起来要容易得多，这样当你继续前进的时候，其他人就可以接手了。“标准Ubuntu软件包”与一页接一页的详细说明您在编译东西时选择了哪些选项，在哪里安装了所有的东西，等等。
5. 客户端可以理解如何管理基本知识。“要更新，定期运行这两个命令”，与“要更新操作系统，定期运行这些命令；查找有关httpd注册此邮件列表的更新；更新httpd从该站点下载最新文件并运行这些命令”。