Debian oder Ubuntu

[Caedus]

Bei der Sicherheit nehmen sich so ziemlich alle Distros grundsätzlich nicht viel. Die arbeiten alle mit der gleichen Codebasis. Ausnahmen bilden da Mint und anscheinend auch Manjaro, die Sicherheitsupdates, bzw. Updates an sich, gerne mal verzögern, um für ach so viel mehr Stabilität zu sorgen.
Was die ältere Software bei Debian angeht: Wenn in Version 2.3.4 von Programm XY eine Lücke gefunden wird, dann wird man bei Debian selbstverständlich prüfen, ob die dort eingesetzte 2.2.2 das Problem auch hat.
So viel zu der Sicherheit eines Linux generell.
Was zusätzliche Sicherheitsfeatures angeht: Ubuntu setzt inzwischen auf die Integration von AppArmor und bietet mit UFW ein etwas angenehmer zu konfigurierendes Frontend für IPTables.
Mit Debian ist das sicher auch kein Problem, aber es dürfte bei der Umsetzung mehr Arbeit machen.

Noch etwas zu NSA, GCHQ, Bundestrojanern und bösen Geheimdiensten im Allgemeinen:
OpenSource-Code wird von vielen Augen überall auf der Welt gelesen. Wenn dort absichtliche Lücken in sicherheitskritischen Funktionen versteckt sind, dann werden die gefunden.
Nur jetzt mal als Gedankenexperiment:
Die NSA hat SELinux entwickelt und es wird weltweit mit eingesetzt. Jetzt könnte man natürlich vermuten, dass dort vielleicht Hintertüren, also absichtlich platzierte Sicherheitslücken vorhanden sind.
Es wäre allerdings vollkommen unsinnig, welche einzubauen, denn wenn diese Lücken von den falschen Leuten gefunden und ausgenutzt werden würden, wäre das schlimmer, als wenn die falschen Leute ein sicheres System haben und nicht mehr so leicht ausspioniert werden können.
Spionieren kann man immer, aber dem "Feind" eine Waffe geben, damit man selbst eine hat, ist einfach Unsinn.

 

[Daaron]

Contra: Datenschutz sehr bedenklich (Amazon), Kommerzialisiert von Cannonical => Wieder eine anglo-amerikanische Firma, In letzter Zeit im Gerede, da sich z.B: Benutzeranmeldung umgehen lässt

Das ist echt Aluhut-Mumpitz. Ubuntu ist weit weniger kommerzialisiert als z.B. RHEL oder SLES, die mit Abstand führenden professionellen Server-Distributionen... Es gibt in Ubuntu genau eine wirklich kommerzielle Funktion: Landscape.
Alles andere... ja, da war mal OPTIONALES!!! Sponsoring drin. Und? Wovon sollen die auch leben? Debian wird auch von Wirtschaftsunternehmen finanziert. Oder schau dir die Mozilla Foundation an, Firefox wird doch locker zu 2/3 durch Google finanziert. Soviel zur Paranoia. Irgendwo muss das Geld halt her kommen.
Nochmal zum Mitschreiben:
- die Amazon-Lens betraf NUR und AUSSCHLIESSLICH die Unity-Oberfläche. In KEINER anderen Oberfläche spielt sie eine Rolle, und wie viele Produktivsysteme arbeiten wohl mit Unity?
- die Amazon-Lens konnte mit 2-3 Klicks entfernt werden

Ubuntu mag ich dagegen (vor allem aus politischen Gründen) nicht wirklich.
Schaue dir mal Mint oder Elementary an. Die basieren auf Ubuntu, ersetzen aber einige Pakete durch eigenentwicklungen (und sind weniger kommerzialisiert).

Mint ersetzt quasi gar nichts. Mint ist lediglich Ubuntu + standardmäßig installierte proprietäre Pakete (Treiber, Codecs,...) + zusätzliche Desktopumgebungen
Und Elementary? Toll, hier wurden viele sehr beliebte Crossplattform - Anwendungen wie Firefox oder Libre/OpenOffice gestrichen, damit alles "einheitlich" ist... Sehr clever. Midori als Browser... braucht das wer? Hab damit rumgespielt, ist signifikant schlechter (v.a. hinsichtlich Plugins) als Chrome/Chromium oder Firefox.

Wenn du Ubuntu aus politischen Gründen nicht verwendest, dann darfst du auch keines der mehr oder minder verpfuschten Derivate verwenden. Spätestens bei PID 1 greifen die alle doch wieder auf Canonical CLA-Software zurück.

Das ist richtig. Mit Debian Testing hat man ein aktuelles System.

...und tagtäglich Updates, die teilweise sehr tiefgreifend sind... etwas, dass man auf einem Produktiv-Desktop nicht gebrauchen kann.
Simple Regel: Verwende NIEMALS Testing-Zweige oder Beta-Software auf Produktiv-Systemen

Wie gesagt, wie schaut es mit Ubuntu und Debian im Vergleich der Systemsicherheit aus? Ubuntu scheint ja mit mehreren Sicherheitsflags kompiliert zu werden und neuere Pakete einzusetzen. Dafür hat Debian ein separates Security-Team. Also wie schaut es mit der Desktop-Sicherheit (v.a. Beim Surfen oder mailen) mit den beiden Systemen aus?

Updates, die Upstream (also: in Debian) eingespielt werden, werden bei Ubuntu zügig an die eigene Struktur angepasst und weitergeleitet.
Das gilt für fast alle Distributionen. Lediglich Mint zeigt hier wieder mal, dass es vollkommen falsche Prioritäten setzt. Hier werden SICHERHEITS-Updates zum Wohle angeblicher STABILITÄT verzögert. Würde mich nicht wundern, wenn Mint ne Woche länger auf n Heartbleed-Fix warten musste...

Zur Firmenpolitik von Canonical: Ich frage mich halt, inwieweit das gut ist, dass eine englische Firma (==> GCHQ) so viel Einfluss hat. Immerhin können die ja das System voll kontrollieren.

Oh komm, setz den verdammten Alu-Hut ab. Diese ganze GCHQ/NSA - Paranoia nervt nur noch. Wie kann man da nur so irrational sein?
90% der Pakete in Ubuntu kommen von Upstream, von Debian. Der Kernel kommt weitestgehend von noch weiter upstream. Da wird gar nix "kontrolliert" und "manipuliert".

Was zusätzliche Sicherheitsfeatures angeht: Ubuntu setzt inzwischen auf die Integration von AppArmor und bietet mit UFW ein etwas angenehmer zu konfigurierendes Frontend für IPTables.

...wobei man aber sagen muss: AppArmor ist (auf Servern) der blanke Horror. Bei AppArmor fragt man sich in schöner Regelmäßigkeit: Meine Konfiguration für Dienst XY sieht doch gut aus, warum buggt der jetzt?

OpenSource-Code wird von vielen Augen überall auf der Welt gelesen. Wenn dort absichtliche Lücken in sicherheitskritischen Funktionen versteckt sind, dann werden die gefunden.

Heartbleed hat gezeigt, wie schnell dieser Mechanismus in extrem wichtigen Komponenten scheitert.

Insgesamt ist es aber korrekt: Wozu mutwillig eine Lücke einbauen, wenn sie danach jeder sehen & finden KÖNNTE? Da die eigene Bevölkerung und Wirtschaft von der Lücke nichts weiß macht man sich damit im Cyberwar nur extrem verwundbar. Ein Angreifer, der zufällig über die Lücke stolpert, könnte dann Kraftwerke manipulieren, Bankdaten klauen, großflächig Wirtschaftsspionage betreiben,... und das alles GEGEN die eigene Bevölkerung.

Nein, NSA-mäßig geplant eingebaute Lücken gibt es in OpenSource nicht, weil der mögliche Schaden jedweden Nutzen um ein Vielfaches überdeckt.

 

[Zehkul]

...und tagtäglich Updates, die teilweise sehr tiefgreifend sind... etwas, dass man auf einem Produktiv-Desktop nicht gebrauchen kann.
Simple Regel: Verwende NIEMALS Testing-Zweige oder Beta-Software auf Produktiv-Systemen

Ach, Archlinux läuft schon ziemlich stabil. Ist ja auch kein Testing Zweig, sondern tatsächlich zum Einsatz gedacht.
Das größte Problem, das mir ein Update bei Archlinux je beschert hat, abgesehen von Catalyst Späßen (Catalyst + RR geht halt einfach nicht gut zusammen, besonders nicht auf Arch, wo es gar nicht in den offiziellen Repos ist, und ich hab den Mist eh schon lange aufgegeben, freie Treiber ahoi), war lustigerweise gestern: Fehlende Hardwarebeschleunigung in allen Steam Spielen nachm Mesa Update, aber auch nur denen. Huh. 5 Minuten googlen, rm ~/.local/share/Steam/ubuntu12_32/steam-runtime/i386/usr/lib/i386-linux-gnu/libstdc++.so.6 und es geht wieder. Um das Problem wird sich Valve ziemlich bald kümmern müssen, da ist einfach deren Runtime kaputt.

GCC 4.9 scheint auch ein ziemlich schlechtes Release zu sein, hat den ffmpeg Flac decoder zerschossen. Das ist aber nicht in Archlinux gelandet, und sollte es eigentlich nun auch nicht mehr. Gentooer, die im falschen Moment ihr ffmpeg neu kompiliert haben, dürften daran allerdings Spaß gefunden haben. Oder finden den immer noch. Binary > Alles von Source kompilieren!

Programme verändern sich, und Veränderung, so positiv sie auch sein kann, hat IMMER das Potential, Bugs mitzubringen. Aber man führt auch kein Archlinux Update aus, wenn man in 5 Minuten eine wichtige Präsentation hält, das scheinst du immer zu vergessen. Updates laufen nicht automatisch durch wie bei Ubuntu, und es wird auch stark davon abgeraten, sich die zu automatisieren. Man führt ein Update durch, wenn man Zeit hat, 5 Minuten lang die neue Software zu bewundern und eventuell Bugs auszubügeln. Und wenn es dann immer noch nicht passt: Downgrade! Wartungsaufwand für Archlinux ist echt minimal. Ganz besonders wenn man sein Ubuntu System mit zig PPAs zerschießt, da würde ich glatt sagen, ist Archlinux deutlich stabiler und wartungsarmer.
Zumal du dich um die ganzen neuen Versionen der Programme ja auch kümmern musst, wenn du von einer Ubuntu LTS auf die nächste springst, nur eben hast du dann alles auf einmal, Archlinux verteilt das nur. Und du hast zwischendrin kein hoffnungslos veraltetes System mit 2 Jahre alten Paketen für alles, was nicht aus einem PPA ist.

 

[Daaron]

Ach, Archlinux läuft schon ziemlich stabil. Ist ja auch kein Testing Zweig, sondern tatsächlich zum Einsatz gedacht.

Ich bezog mich heir auf den Rat, doch einfach Debian Testing zu verwenden... ein System, dass eben a) nicht für Produktiveinsatz gedacht ist und b) einer recht ungewissen Support-Dauer entgegen sieht.
Die Debian Testing - Zweige haben z.b. ein großes Problem: Sie kriegen Sicherheitsupdates deutlich später als Debian Stable und dessen Derivate. Immerhin kriegt Testing aber Updates, kann man von Unstable nicht behaupten.

Aber im Hinblick auf Sicherheit: Ubuntu LTS > Debian Stable (weils garantiert 5 Jahre Support sind) > Debian Testing.

Aber man führt auch kein Archlinux Update aus, wenn man in 5 Minuten eine wichtige Präsentation hält, das scheinst du immer zu vergessen. Updates laufen nicht automatisch durch wie bei Ubuntu, und es wird auch stark davon abgeraten, sich die zu automatisieren. Man führt ein Update durch, wenn man Zeit hat, 5 Minuten lang die neue Software zu bewundern und eventuell Bugs auszubügeln.

Na ja, bei Ubuntu oder Debian Stable hast du das Problem halt gar nicht erst. Wenn es nicht gerade ein ganz ganz ganz eiliger Patch (wie Heartbleed) ist, dann wird da durchaus eben erst intern getestet. Das, was dann im Repo landet, ist stabil und kann sogar automatisiert installiert werden.

Ganz besonders wenn man sein Ubuntu System mit zig PPAs zerschießt, da würde ich glatt sagen, ist Archlinux deutlich stabiler und wartungsarmer.

Macht man ja auch nicht. Nur Bastler setzen so stark auf PPAs, dass es zu einer Bedrohung der Stabilität wird.
Außerdem werden PPAs für GIMP 2.8 oder Libre Office 4 unter Ubuntu 12.04 sicher keine nennenswerten Stabilitätsprobleme oder gar Sicherheitsprobleme mitbringen. Wenn man natürlich XSwat verwendet...

Zumal du dich um die ganzen neuen Versionen der Programme ja auch kümmern musst, wenn du von einer Ubuntu LTS auf die nächste springst, nur eben hast du dann alles auf einmal, Archlinux verteilt das nur. Und du hast zwischendrin kein hoffnungslos veraltetes System mit 2 Jahre alten Paketen für alles, was nicht aus einem PPA ist.

Der Kompromiss aus Aktualität vs. Stabilität & Wartbarkeit. Für ein Office-System ist ein Ubuntu LTS eben genau deshalb unschlagbar, weil es nicht nur ein Nobrainer ist, sondern sich auch für 5 Jahre garantiert gleich verhält.
Nicht jeder WILL z.B. ein Upgrade auf ne neue Office-Version. LO v4 bringt z.B. ne etwas geänderte GUI mit, will man in einem Büro evtl. nicht haben. Man hat die Leute an die 3er GUI gewöhnt, jetzt will man sie nicht überfordern.

 

[andy_0]

Wie man sieht, kommt es stark auf den Einsatzbereich an. Wer ein möglichst stabiles System haben möchte, kann ruhig zu Debian oder Ubuntu LTS greifen. Problematisch sind jedoch die alten Pakete. Auch in Ubuntu fehlen viele Anwendungen bzw. die vorhandenen werden innerhalb des Release nicht einmal geupdated. Als Ergebnis führt man dann Fremd-Repositories (Browser 1, Browser 2, Binary GPU Treiber, ein/zwei spezielle Anwendungen, ...) hinzu, die am Ende die ganze Stabilität gefährden.

Es stellt sich also die Frage: möchte man ein stabiles System oder ein aktuelles System. Der Trade-Off ein stabiles System mit Fremd-Repositories zu verwenden, ist IMHO eine schlechte Idee. Soll das System aktuell sein und bleiben, benötigt man eben ein Rolling-Release. Debian Testing sorgt da für nahezu keine Probleme, Arch Linux in der Regel auch nicht. Sollte sich doch mal was größeres geändert haben, informiert die Arch-Homepage über den Vorgang.

@ Zehkul
Man kann Arch auch mit fglrx betreiben. Es gibt im Wiki ein Link zu einem Fremd-Repository. Man muss nur beachten, denn Kernel nicht automatisch zu updaten, den Rest übernimmt das eine Fremd-Repository. Das ist auch das einzigste, was ich eingebunden habe, ansonsten müsste ich fglrx jedes mal manuell installieren. Hin und wieder führt man, nach Kontrolle der Kompatibilität zwischen fglrx, Kernel und X-Server, ein Upgrade des Kernels durch.

 

[Daaron]

...Als Ergebnis führt man dann Fremd-Repositories (Browser 1, Browser 2, Binary GPU Treiber, ein/zwei spezielle Anwendungen, ...) hinzu, die am Ende die ganze Stabilität gefährden.

Das ist wohl eher die Ausnahme als die Regel. Warum sollte man z.B. die Grafiktreiber aktualisieren? Erstens gibts halbjährlich n hübschen Kernel-Backport für Ubuntu LTS, du hast also immer (ziemlich) aktuelle Open Source Treiber. Solltest du hingegen die Geschlossenen verwenden wollen: du setzt ja kaum ein 2 Jahre altes Release für moderne Hardware an.
Und das Beispiel Browser ist auch nur partiell relevant. Ubuntu 12.04 bringt z.B. Firefox 29 mit.

 

[andy_0]

Die geschlossenen Treiber sind für 3D-Beschleunigung nahezu unabdingbar. An fglrx änderte sich in den letzten zwei Jahren alle paar Release sehr, sehr viel. Es wurden nicht nur starke Leistungsverbesserungen erzielt, sondern auch (gravierende) Fehler behoben. Dies macht ein Update auf die neuesten Versionen fast schon zu einer "Notwendigkeit". Mal eben sechs bis 12 Monate warten, bis der aktuellste Treiber in der Distribution angekommen ist, ist da schlichtweg kein gangbarer Weg.

Warum sollte man Debian NICHT für ein Spiele-PC einsetzen? Es ist stabil, es fehlt jedoch die (aktuellen) Paketen (z.B. Steam). Klar, das kann man alles per Repository nachrüsten, aber das erzeugt viele Probleme. Ansonsten hatte ich über ein Jahr auf Debian Testing gesetzt und bin damit gut gefahren, solange man eben keine "spezielle" Software (Steam, neueste GPU-Treiber, aktuellen X-Server, ...) benötigt hat. Wird es benötigt, wird es arbeitsaufwendig.

Hat Ubuntu 12.04 auch den neuesten Chrome, Chromium und Opera integriert? Die vier Browser (ok, eher drei, Opera, Firefox und Chromium) setze ich persönlich parallel ein (Opera und Firefox auf primären Desktop, Chromium auf sekundären aka den TV). Kleiner Tipp: Opera ist eher selten in einem Repository zu finden.

 

[Zehkul]

Man kann Arch auch mit fglrx betreiben.

Ich weiß. Habe ich ja lange genug selber gemacht. Sehr lange. Es ist trotzdem reinster Müll und lädt Probleme förmlich ein. Ohne die Arbeit von Vi0l0 wäre es noch viel schlimmer.

Ergänzung (11. Mai 2014)

Die geschlossenen Treiber sind für 3D-Beschleunigung nahezu unabdingbar.

Einspruch, euer Ehren.

http://www.linuxsystems.it/2014/05/radeonsi-faster-catalyst-steam-games/

 

[Daaron]

Die geschlossenen Treiber sind für 3D-Beschleunigung nahezu unabdingbar.

Ich hatte bei meinem Büro-PC (GF 430 Office-Karte) nur Probleme mit den proprietären Treibern. Das ging los mit Boot-Problemen bis dahin, dass ich nicht mit Strg+Alt+Fx in die Terminals kam. Befehle eingeben ging, aber es gab keine Ausgabe.
Seit ich die Kiste mit Nouveau betreibe läuft die Maschine butterweich.

Und AMD? Wenn du nicht gerade ne R9 hast, hast du mit einem aktuellen Kernel genau so gute oder bessere Karten als mit dem proprietären Abfalltreiber von AMD.

Hat Ubuntu 12.04 auch den neuesten Chrome, Chromium und Opera integriert?

Chrome kommt direkt aus den Google Repos, Opera hat ebenfalls eigene. Beide sind schließlich Closed Source.
Für Chromium brauchts zugegeben ein separates PPA. Selbiges ist aber sehr stabil, hängt dafür 2-3 Tage hinter den Updates der Windows-Version hinterher.

 

[andy_0]

Nouveau ist ja auch für Nvidia ... Das Opera und Google eigene Repositories haben, ist mir klar. Das System mit "tausenden" externen Repositories zuzuklatschen, lädt Probleme aber ein. Früher oder später hat man dann Versionskonflikte.

Der radeon-Treiber hat auch erst mit Kernel 3.13 einen weiteren Geschwindigkeitszuwachs erfahren . Das Problem unter Linux ist aber weiterhin weniger die Geschwindigkeit (sagen wir 80% der Geschwindigkeit bei manchen Games im Vergleich zu Windows ist ok) als die Stabilität. Mit radeon hatte ich bei meinen Spielen extreme Grafikfehler (Stand: vor zwei Jahren). Ob sie heute noch auftreten, kann ich nicht sagen. Langfristig wird radeon fglrx sicherlich ersetzen, da hat sich in den letzten zwei Jahren ebenfalls viel getan. Die OSS Treiber sind ansonsten stabiler (zumindest für das Gesamtsystem betrachtet) als die proprietären Treiber.

Ich wiederhole mich gerne noch einmal: Es kommt auf den Einsatzbereich an. Benötigt man wirklich Opera, Chromium/Chrome, fglrx etc. kann ich das unter Ubuntu "alles" via externer Repositories lösen oder z.B. mit Arch nahezu alles über das native Repository.

 

[alexfi]

Also nochmals vielen Dank für die Antworten!

Ich bin mit meiner Entscheidung schon soweit, dass ich sehe, dass die Befürchtungen zu Ubuntu wohl etwas übertrieben waren. Debian hat halt den Vorteil, dass man da quasi "an der Quelle sitzt" was die Pakete angeht, aber gut.
Debian hat desweiteren wohl den Vorteil (ich interessiere micht nur für die stable-Version), dass es vollständig auf freie Software sich beschränkt (vgl. Iceweasel etc).
Bei Ubuntu käme sowieso nur die LTS-Version zum Einsatz.

Also, wenn ich das richtig verstanden habe, seid Ihr der Meinung, dass Ubuntu LTS sicherer (im Auslieferungszustand) ist, als Debian stable. Oder nicht?

Mein Kopf sagt mir im Moment: Nimm Debian, mein Bauch rät mir zu Ubuntu. Ich hoffe, Ihr könnt mir noch ein paar Argumente pro / contra liefern.

Vielen vielen Dank für so viele Antworten. Das hätte ich echt nicht erwartet.

Alex

 

[Zehkul]

Wir sind der Meinung, dass das eh alles dieselben Pakete sind. Nimm einfach Ubuntu, es gibt kaum Gründe, Debian als Desktopsystem zu betreiben.

Nouveau ist ja auch für Nvidia ...

… und damit noch viel viel schlechter als der Radeon Treiber, exakt. Oder was wolltest du damit ausdrücken?

(Stand: vor zwei Jahren)

 

[Daaron]

Das System mit "tausenden" externen Repositories zuzuklatschen, lädt Probleme aber ein. Früher oder später hat man dann Versionskonflikte.

Nö, eigentlich nicht. Warum sollte ein Paket, dass in den offiziellen Repos gar nicht vorhanden ist, auch einen Versionskonflikt auslösen? Überhaupt, wann sollte ein externes Repository denn überhaupt einen Konflikt auslösen? Ja doch frühestens, wenn man ein Distributionsupdate macht. Bei Ubuntu LTS macht man das alle 2-4 Jahre... Und was steht im Handbuch dafür? Genau: Fremdquellen vorher entfernen.

Der radeon-Treiber hat auch erst mit Kernel 3.13 einen weiteren Geschwindigkeitszuwachs erfahren

Da Ubuntu 14.04 einen modifizierten 3.13 mit 3.14 und 3.15 Backports enthält... Pft.

Benötigt man wirklich Opera, Chromium/Chrome, fglrx etc. kann ich das unter Ubuntu "alles" via externer Repositories lösen oder z.B. mit Arch nahezu alles über das native Repository.

Bei Arch kommts auch nur aus den Community-Repositories, bei denen du dann rätselst, was dran gemacht wird und was nicht.

Debian hat desweiteren wohl den Vorteil (ich interessiere micht nur für die stable-Version), dass es vollständig auf freie Software sich beschränkt (vgl. Iceweasel etc).

Ein Vorteil, der im realen Leben ein Nachteil ist. Du kannst ohne proprietäre Pakete nicht einmal ne MP3 abspielen, geschweige denn n .h264-Video glotzen. Du kannst viele Hardware-Komponenten (v.a. WLAN-Sticks) nicht verwenden, weils für die nur "restricted" Treiber gibt.

Also, wenn ich das richtig verstanden habe, seid Ihr der Meinung, dass Ubuntu LTS sicherer (im Auslieferungszustand) ist, als Debian stable. Oder nicht?

Scheißegal, total Banane, nimmt sich nichts.

Mein Kopf sagt mir im Moment: Nimm Debian, mein Bauch rät mir zu Ubuntu. Ich hoffe, Ihr könnt mir noch ein paar Argumente pro / contra liefern.

Es gibt einfach keinen rationalen Grund, Debian zu wählen.
- LTS - Geschichte für Debian 7 und folgende ist noch nicht geklärt. Bei Ubuntu hast du deine 5 Jahre... Für n Server lohnt sich die zusätzliche Zeit definitiv, beim Desktop machts keinen Unterschied
- Ubuntu 14.04 hat neuere Pakete als Debian 7
- Ubuntu hat PPAs... die sind einfach zu nützlich, um sie zu ignorieren
- Ubuntu enthält viele kleine Gimmicks und Änderungen, die das Leben eben doch etwas erleichtern. Es ist eben einfach mehr auf Benutzbarkeit getrimmt

 

[alexfi]

Interessant ist, dass Ubuntu im Moment zuerst auf den neuen Kernelbug reagiert hat. Zu Ubuntu ist mir aufgefallen, dass das eigentlich nur mit Unity Sinn macht. Alle anderen Oberflächen erhalten ja nicht bei LTS 5 Jahre Updates. Das heißt, es dürfte wahrscheinlich Sinn machen, Debian eher auf älteren, schwächeren Rechnern einzusetzen.

Wie schaut es eigentlich mit standardmäßig laufenden Diensten im Hintergrund bei den beiden Distributionen an? Laufen da bei Ubuntu mehr, die ein potenzielles Einfallstor sein könnten?
Und diese Security-Features von Ubuntu: Wie viel bringen die in der Realität? Verhindern diese mögliche Angriffe beispielsweise über den Webbrowser?

Ich frage deshalb nocheinmal nach: Ist für sicherheitskritische Umgebungen bzw. Umgebungen mit sensiblen Daten (Ärzte und Rechtsanwälte) eher Debian oder eher Ubuntu zu empfehlen?

Und wie schaut es mit dem Senden von Informationen nach Hause aus?

Viele Grüße

Alex

 

[Wasserquelle]

Interessant was einige hier so für einen Quark von sich geben. Die Aussage Debian ist genauso sicher wie Ubu LTS ist maximal eine Momentaussage. Der Fakt das Debian weitaus stabilere Pakete hat ist nicht bestreitbar. Zudem ist ein "gehärtetes" System analytisch betrachtet immer sicherer als eins, wo einfach alles reingepfeffert wird. Zudem basiert Debian übrigends auf einem Debian Sid ( unstable ) Snapshot der weiterentwickelt wird. Zudem arbeitet unter Ubuntu immer eine "Art" Debian unstable.
Das muss nun nicht schlecht sein. Aber wer Debian nutzt weiß warum er dies tut. Wer es nicht weiß der kann auch bei Ubuntu bleiben solange es seine Bedürfnisse befriedigt.

( siehe Signatur )

Grüße

 

[Daaron]

Zu Ubuntu ist mir aufgefallen, dass das eigentlich nur mit Unity Sinn macht. Alle anderen Oberflächen erhalten ja nicht bei LTS 5 Jahre Updates.

Das spielt keine nennenswerte Rolle und betrifft in erster Linie die Fertig-CDs. Hinsichtlich der Sicherheit werden die Pakete trotzdem gepflegt.

Wie schaut es eigentlich mit standardmäßig laufenden Diensten im Hintergrund bei den beiden Distributionen an? Laufen da bei Ubuntu mehr, die ein potenzielles Einfallstor sein könnten?

Es läuft, was du installierst...

Ich frage deshalb nocheinmal nach: Ist für sicherheitskritische Umgebungen bzw. Umgebungen mit sensiblen Daten (Ärzte und Rechtsanwälte) eher Debian oder eher Ubuntu zu empfehlen?

Und ich sag dir nochmal: Jacke wie Hose.

Und wie schaut es mit dem Senden von Informationen nach Hause aus?

Und nochmal: Irrelevant.

Aber wer Debian nutzt weiß warum er dies tut.

Bis vor kurzem war Debian das beste Argument gegen Debian. Was will ich mit nem OS, dass ich im 2-Jahres-Takt tauschen muss? Für Debian 7 und folgende gibts immer noch keine definitive LTS-Aussage.

 

[powerfx]

Interessant ist, dass Ubuntu im Moment zuerst auf den neuen Kernelbug reagiert hat.

Die Aussage Debian ist genauso sicher wie Ubu LTS ist maximal eine Momentaussage. Der Fakt das Debian weitaus stabilere Pakete hat ist nicht bestreitbar. Zudem ist ein "gehärtetes" System analytisch betrachtet immer sicherer als eins, wo einfach alles reingepfeffert wird.

Da eine ist "Sicherheit", das andere "Stabilität". Es ist nicht das gleiche und im Fall des Kernelbugs sogar jeweils fast das Gegenteil.
Ubuntu hat den Patch vielleicht schneller veröffentlicht, aber eben zu Lasten der Stabilität, denn sie hatten damit nicht die Zeit alles komplett durchzutesten und irgendeine Funktion könnte durch diesen Fix durchaus beschädigt worden sein.

Das heißt, es dürfte wahrscheinlich Sinn machen, Debian eher auf älteren, schwächeren Rechnern einzusetzen.

Ironischerweise läuft Debian 7 out-of-the-box (mit Gnome) nicht mal richtig auf einer Radeon X1550. Für mich ist das noch keine antike Hardware, sondern durchaus benutzbar. Aber die Gnome Shell unterstützt sie nicht und "GNOME Classic" gibt es erst seit 3.10.

Aber zur Kernfrage: Wie schon hier von vielen auch zwischen den Zeilen geschrieben, ist die genaue Distribution selbst für die Sicherheit vernachlässigbar. Viel wichtiger ist derjenige, der sie einrichtet. Erfahrung ist hier viel Wert.

 

[alexfi]

Viel wichtiger ist derjenige, der sie einrichtet. Erfahrung ist hier viel Wert.

Okay, das stimmt natürlich. Dann frage ich jetzt mal so herum: Welche Maßnahmen sind sinnvoll? Die von Ubuntu aktivierten Optionen im Compiler kann man ja in Debian so einfach im Nachhinein nicht aktivieren. Man müsste alle Pakete dann ja selbst kompilieren.

Also was sollte man tun um
a. Ubuntu
b. Debian
abzusichern? Welche Dienste deaktivieren, Optionen setzten etc.

Viele Grüße

Alex

 

[powerfx]

Hoho, das wird man wohl kaum in einem einzigen Post unterbringen können. Debian hat dazu aber eine Anleitung und TK eine kürzere Zusammenfassung.
Als Einstiegspunkte vielleicht hilfreich.

 

[alexfi]

Also ich habe noch mal ein bisschen recherchiert:
Unter http://www.outflux.net/blog/archives/2014/02/03/compiler-hardening-in-ubuntu-and-debian/ gibt es einen interessanten Vergleich zwischen Ubuntu und Debian was die Hardening-Features des Compilers angeht. Dort steht, dass Debian 74% seiner Pakete mit Hardening-Features versehen hat, Ubuntu dagegen 99%. Das spricht deutlich für Ubuntu.
Es scheint mir so, dass Debian wohl eher geeignet ist, um selbst daraus eine Distribution zu bauen.

Das heißt doch, dass Ubuntu von der Compiler-Seite her sicherer ist. Jetzt würde mich nur intessieren, inwieweit die Konfiguration von Ubuntu sicher ist, d.h. wieviel unnötige Hintergrunddienste laufen.

Viele Grüße

Alex