Tuxedo OS: Eigene Updates sollen Debian Testing absichern
Tuxedo will den Wechsel von Ubuntu LTS auf Debian Testing mit einer eigenen Sicherheitsinfrastruktur flankieren. Kritische Korrekturen sollen bei Bedarf vor der regulären Aufnahme in Debian Testing über eigene Paketquellen verteilt werden.
Debian Testing erhält Sicherheitsupdates verzögert
Hintergrund ist das Entwicklungsmodell von Debian. Neue Paketversionen und Fehlerkorrekturen landen zunächst in Debian Unstable und wechseln erst nach einer Warte- und Prüfphase in den Testing-Zweig. Dabei müssen unter anderem die Builds für die unterstützten Architekturen abgeschlossen sein, Abhängigkeiten passen und es dürfen keine veröffentlichungskritischen Fehler bekannt werden. Nach Angaben von Tuxedo kann die Übernahme dadurch zwischen zwei und 14 Tagen dauern.
Debian weist selbst darauf hin, dass Sicherheitsupdates für Testing nicht unmittelbar durch das Security-Team verwaltet werden. Der Zweig profitiert zwar von den Korrekturen in Unstable, allerdings können Mindestwartezeiten, Paketübergänge und Abhängigkeiten deren Aufnahme verzögern. Für ein Betriebssystem, das im Alltag produktiv eingesetzt werden soll, will sich Tuxedo deshalb nicht allein auf diesen Paketfluss verlassen.
Eigene Repositories und CVE-Überwachung
Tuxedo spiegelt die Debian-Basis in eigenen Paket-Repositories und will bei kritischen Schwachstellen aktiv eingreifen. Ist eine Sicherheitslücke in Testing aus Sicht des Unternehmens zu lange ungepatcht, soll ein bereits korrigiertes Paket direkt aus Unstable übernommen oder die Änderung als eigener Backport bereitgestellt werden. Nutzer sollen den Patch dadurch erhalten können, bevor er regulär in Debian Testing ankommt.
Als Grundlage entsteht derzeit ein automatisiertes Monitoring. Es soll den Debian Security Tracker und weitere öffentliche CVE-Datenbanken auswerten und bekannte Schwachstellen mit dem Paketbestand von Debian Testing abgleichen. Bei gravierenden Lücken in zentralen Komponenten wie sudo strebt Tuxedo an, einen belastbaren Patch innerhalb weniger Stunden zu testen, zu paketieren und auszuliefern. Das ist allerdings eine Zielvorgabe des Unternehmens und keine garantierte Frist.
Mehr Kontrolle verspricht sich Tuxedo auch gegenüber der bisherigen Ubuntu-Basis. Bislang war der Anbieter bei vielen Komponenten auf die Paketierung durch Canonical angewiesen. Auf der neuen Grundlage sollen die Entwickler Sicherheitskorrekturen bei Bedarf selbst vorbereiten und verteilen können.
Eigene Kernel und Rückkehr per Snapshot
Das künftige Tuxedo OS soll außerdem zwei eigene Kernelpakete erhalten. linux-tuxedo ist als aktueller Standardkernel vorgesehen, während linux-tuxedo-lts auf einem geeigneten Langzeit-Kernel aufbauen und als Rückfalloption dienen soll. Browser, Grafik-Stack einschließlich Nvidia-Treiber sowie weitere zentrale Komponenten will das Unternehmen ebenfalls unabhängig von Debian Testing aktuell halten.
Zusätzliche Absicherung sollen das Dateisystem Btrfs und Snapper bieten. Vor Änderungen durch die Paketverwaltung lassen sich damit System-Snapshots erstellen. Verursacht ein kurzfristig bereitgestelltes Update Probleme, kann das System auf einen vorherigen Zustand zurückgesetzt werden. Die Snapshot-Funktion verhindert keine Sicherheitslücken, soll aber das Risiko senken, dass schnelle Aktualisierungen ein produktiv genutztes System dauerhaft unbrauchbar machen.
Tuxedo hatte Anfang Juli angekündigt, die bisherige Ubuntu-LTS-Basis aufzugeben und Tuxedo OS dauerhaft auf Debian Testing aufzubauen. Der Hersteller bezeichnet dieses Modell als „Continuous Debian“. Für Bestandsinstallationen ist kein direktes Upgrade vorgesehen. Der Wechsel auf die fertige Debian-Ausgabe soll eine Neuinstallation erfordern.
- Bester Maus- und Tastatur-Hersteller
- Bester PC-Gehäuse-Hersteller
- Bester NAS-Hersteller
- Alle Wahlen im Überblick...