Ist Debian der Goldstandard für Linux-Sicherheit?

Ist Debian der Goldstandard für Linux-Sicherheit?

Sicherheit ist eine wichtige Priorität für alle Benutzer, auch für diejenigen, die Linux als bevorzugtes Betriebssystem ausführen. Ein Redditor fragte sich kürzlich in einem Diskussionsthread, ob Debian als Goldstandard für Linux-Sicherheit angesehen werden sollte.

ZombieWithLasers begann die Diskussion mit folgenden Beobachtungen und Fragen:

Mir ist aufgefallen, dass Debian häufig auftaucht, wenn es um Sicherheit unter Linux geht. Es scheint die Anlaufstelle zu sein, wenn jemand über Sicherheit und Datenschutz spricht. Viele der White Hat- und sicherheitsorientierten Distributionen verwenden sie als Basis, einschließlich Kali und Tails. Der EFF hat es mehrfach empfohlen und es wurde sogar im Abspann von Citizen Four gedankt. Ist es wirklich so viel sicherer als andere Distributionen?

Ich verstehe, dass Bedenken hinsichtlich Unternehmensdistributionen wie RHEL, SUSE und Ubuntu bestehen, auch wenn diese Bedenken nicht begründet sind. Die Open Source / FLOSS-Community hatte immer ein gewisses Misstrauen gegenüber Unternehmen. Was ist mit Distributionen wie Arch, Gentoo und Slackware? Arch ist sogar Mitglied derselben gemeinnützigen Organisation wie Debian.

Es gibt auch andere Überlegungen wie GRSecurity und Systemd. In den meisten Fällen ist GRSecurity besser als SELinux, wird jedoch nur von Gentoo und Arch in ihren Haupt-Repositories angeboten. Warum tragen sie keinen zusätzlichen Sicherheitsruf dafür? Systemd ist ein komplizierteres Problem. Die Meinungen reichen von weitaus sicherer als frühere Init-Lösungen bis hin zur Erstellung durch die NSA selbst, um Schwachstellen unter Linux zu schaffen. Das überprüfbare Problem, das ich sehe, ist die Größe. Es ist bekannt, dass je kleiner und weniger komplex die Software ist, desto weniger Möglichkeiten bestehen, dass seltsame Fehler und Schwachstellen auftauchen. In diesem Zusammenhang scheinen leichtere Alternativen einen leichten Sicherheitsvorteil zu haben. Dies gilt wiederum für Distributionen wie Gentoo, Void und Slackware.

Worum geht es also bei Debian? Ist es der Ruf allein? Liegt es daran, dass sie gut mit der Gemeinde und Organisationen wie der FSF zusammenarbeiten? Ist es eher ein Problem, das Debian leichter zu empfehlen ist? Ich würde Gentoo auf keinen Fall einem neuen Benutzer empfehlen und erwarten, dass er sicher ist. Ich bin ehrlich neugierig. Gibt es einen geheimen X-Faktor, den Debian hat und den ich vermisse? Ist es wirklich der Goldstandard in der Linux-Sicherheit?

Mehr bei Reddit

Seine Linux-Redditoren antworteten mit ihren Gedanken zu Debian und Sicherheit:

Daemonpenguin : „Ich glaube nicht, dass ich jemals gehört habe, dass Debian als besonders sicherheitsrelevant bezeichnet wird. Nicht, dass Debian schlecht darin ist, aber ich habe nie jemanden gekannt, der sich wegen einer Sicherheitsfunktion für Debian entschieden hat. Ich habe auch noch nie gehört, dass Debian einen hervorragenden Ruf für Sicherheit hat.

Ich denke, das OP befasst sich mit sicherheitsorientierten Distributionen, die auf Debian basieren und davon ausgehen, dass Debian extrem sicher ist. Das ist wahrscheinlich nicht der Fall. Projekte wie Tails und Kali verwenden Debian wahrscheinlich als Basis, da es relativ einfach ist, Debian neu zu drehen. Debian ist eine sehr stabile, offene Basis. Es ist einfach, Debian zu erweitern und anzupassen, und es folgen viele Beispiele.

Daher basiert Tails wahrscheinlich auf Debian, da es einfach ist, mit Debian als Plattform zu arbeiten, und nicht, weil es über spezielle Sicherheitsfunktionen verfügt.

Dinge wie cgroups (systemd) und SELinux sind ein völlig anderes Thema und können mit nahezu jeder Distribution verwendet werden. “

Silvernostrils : „Sie haben nie Sicherheit definiert, Sie können eine Flip-Flop-Schaltung mit einem zeitgesteuerten Impuls„ hacken “und sie zum Flop-Flip machen. Bedeutet das, dass sie unsicher ist? Ich meine gegen wen / was willst du dich schützen.

Auch Komplexität und Umfang sind nicht die einzigen Faktoren, die Änderungsrate und die verfügbaren Ressourcen. Wenn Sie den Code genauer betrachten oder langsamere Änderungen vornehmen und somit mehr Zeit haben, den Code zu betrachten, verringern Sie auch das Fehlerrisiko.

Wenn Sie die Komplexität und Skalierbarkeit reduzieren, erhalten Sie möglicherweise einen Rebound-Effekt, bei dem die freigesetzten Ressourcen nicht für eine bessere Codequalität oder mehr Codeüberprüfung, sondern für schnellere Iterationen ausgegeben werden. Ich bin mir nicht sicher, ob Sie das Rennen nicht nur beschleunigen wollen. Wollen Sie Ihren Gegnern davonlaufen?

Ich bin mir auch nicht sicher über Fuzzers oder Narrow-AI-Angriffe und was für diese schwieriger zu verdauen ist. Und ob wir nicht durch immer aufwändigere und teurere Verteidigungsmaßnahmen einen Contest-Piping-Code erhalten. Wie viel Rechenleistung sind wir bereit zu opfern? Wird dies ein wirtschaftlicher Kampf sein?

Debian war immer sehr vorsichtig / absichtlich sehr stabil und sehr vertrauenswürdig, und es ist vergleichsweise einfach für die Sicherheit zu verwenden, die es bietet. Auch die Community ist groß, so dass es wahrscheinlicher ist, dass jemand Spielereien bemerkt.

Wenn Sie sich SEL vs GR ansehen, dann gibt es auch Dynamik und Übergangskosten. Wenn ich von SEL zu GR wechsle, wird es einen Zeitrahmen geben, in dem meine mangelnde Erfahrung bei der Konfiguration von GR zu einem vorübergehenden Sicherheitsverlust führt. “

Tscs37 : „In Bezug auf die Angriffsfläche sehen Sie Alpine Linux möglicherweise standardmäßig als„ am sichersten “an, da es im Grunde eine nicht vorhandene Angriffsfläche hat, die standardmäßig einen gehärteten Kernel und Tools verwendet.

Andererseits ist keine Distribution standardmäßig wirklich "sicher". Sie sind alle in irgendeiner Weise anfällig für Angriffe. Das Beste, was Sie tun können, ist, einen auszuwählen, mit dem Sie vertraut sind, einen gehärteten Kernel zu installieren, über CVEs auf dem Laufenden zu bleiben und Ihren Kopf unter der Schusslinie zu halten. “

Boomboomsubban : „Es verfügt über eine stabile Basis und arbeitet hart an Backporting-Sicherheitsupdates. Updates bergen potenzielle Risiken, auf die sie warten müssen. GRsecurity kann unter Debian verwendet werden, der gepatchte Kernel befindet sich in den Repos und Sie können ihn selbst kompilieren, wenn Sie möchten. Und ihr Entscheidungsprozess ist unglaublich transparent, was die Menschen tröstet, wenn nichts anderes. “

Jijfjeunsisheumeu : „Debian-Sicherheit ist aus so vielen Gründen ein Blödsinn, angefangen von der Verwendung von glibc über eine nicht gehärtete Toolchain bis hin zur Tatsache, dass es mehrere Fälle gegeben hat, in denen Debians aggressive Politik, Pakete zu patchen und zu forken, Sicherheitslücken geschaffen hat nicht stromaufwärts existieren.

Letzteres ist ein wirklich großes Problem, es sei denn, es ist absolut notwendig. Abweichungen vom Upstream sind ein Sicherheitsalptraum, in dem Sie nicht mehr wissen, welche Schwachstellen möglicherweise vorhanden sind. Wenn ein kritischer Fix vorhanden sein soll, muss es sich um einen Backport eines Upstream-Patches handeln.

Wenn Sie einen Linux-Kernel verwenden und Sicherheit wünschen, gehen Sie zu Hardened Gentoo, es gibt keinen Konkurrenten. Ja, Sie können eine ähnliche Sache mit Debian erreichen, indem Sie Ihr System selbst mit gehärteten Flags neu kompilieren, aber der Paketmanager wird Ihnen nicht weiterhelfen. “

Cbmuser : „Debian arbeitet ständig am Härten. Der nächste Schritt besteht darin, -fPIE standardmäßig zu aktivieren und ein signiertes Kernel-Image zu verwenden. Wir härten jetzt schon eine ganze Weile.

Im Gegensatz zu Gentoo haben wir bereits auf gcc-6 umgestellt und professionelle Betreuer für Toolchain, Glibc und Kernel (von Unternehmen bezahlt).

Debian verfügt über reproduzierbare Builds und wird häufig in den Interwebs verwendet und von Unternehmen wie Bytemark und HP Enterprise unterstützt.

Sie sind schlecht informiert. "

Twiggy99999 : „Wenn Sie das Internet lesen (das tue ich), ist jede Distribution die sicherste. Unter Linux ist die von allen gewählte Distribution die beste und alle anderen„ saugen Kerl “. In der Ferne sind sie korrekt, jede Distribution könnte die sicherste sein, abhängig davon, wie sie eingerichtet wurde, was als Standard installiert ist usw. usw. Debian ist sofort in Ordnung, aber Sie können es leicht viel weniger sicher machen, als Sie es mit jeder anderen können Distribution, aber es gibt auch Dinge, die Sie tun können, um es viel sicherer zu machen. Ich glaube wirklich nicht, dass es hier eine richtige oder falsche Antwort gibt. “

Passthejoe : „Ich verwende Fedora, weil Sie eine vollständige Linux-Installation, die als Dual-Boot-System unter Windows installiert ist, problemlos verschlüsseln können. Debian erlaubt nur dann eine vollständige Verschlüsselung, wenn es die einzige SO auf dem Laufwerk ist.

Ich sage "leicht", weil ich sicher bin, dass es möglich ist, diese Dinge im Debian-Installationsprogramm zu tun, aber es ist wahrscheinlich super hackisch und nicht einfach.

Eine vollständig verschlüsselte Debian-Installation als einziges Betriebssystem ist jedoch sehr einfach, und es ist eine großartige Sache, die Debian zu einer großartigen Wahl für Sicherheitsbewusste macht. “

Ilikerackmounts : „Gentoo kann aufgrund seiner variablen Compiler-Flags weniger anfällig für ROP-Verkettungen sein (aber sicher, aber kugelsicher). Es hatte auch ein gehärtetes Profil mit gehärteten Gebrauchsflaggen. Ich würde jedoch sagen, dass eine Distribution, die zumindest versucht, sich selbst zu härten, Centos / Fedora / Rhel mit standardmäßig konfigurierten Selinux-Profilen ist.

Abgesehen davon gab es für alle Distributionen eine Reihe von bescheidenen Snafus, um den kühnen Anspruch auf Sicherheitsorientierung zu verhindern, von denen der letzte Schwachstellen innerhalb der Paketmanager waren. “

Mehr bei Reddit

DistroWatch Bewertungen Apricity OS 07.2016

Apricity OS ist eine auf Arch Linux basierende Distribution, die den ICE-Site-spezifischen Browser bietet. ICE erleichtert die Integration von Webanwendungen in das Desktop-Erlebnis. DistroWatch hat eine vollständige Überprüfung von Apricity OS 07.2016.

Jesse Smith berichtet für DistroWatch:

Ich zögere, umfassende Aussagen über Apricity, seine Stärken und Schwächen zu machen, da ich meine installierte Kopie des Betriebssystems nur in begrenztem Umfang verwenden durfte. Fast meine gesamte kurze Zeit mit der Distribution verbrachte ich damit, sie von einer Live-Disc aus auszuführen. Abgesehen davon, dass meine installierte Kopie von Apricity mir keine Desktop-Sitzung bietet, hat mir das meiste, was ich diese Woche erlebt habe, gefallen.

Apricity hatte einige Funktionen, die mir egal waren. Die undeutlichen Fensterränder waren nicht ideal, aber es ist möglich, das Thema zu ändern und mit verschiedenen Desktop-Stilen zu experimentieren. Ich mag es nicht, den Totem Media Player zu verwenden, aber es gibt viele andere, aus denen ich in den Repositories auswählen kann.

Ich mag es, dass Apricity mit viel Software ohne viel Duplizierung geliefert wird. Es ist in der Regel ein Programm pro Aufgabe verfügbar, und die Verteilung umfasst viele Aufgaben. Alles von Spielen mit Steam über eine Produktivitätssuite bis hin zu Multimedia-Codecs ist enthalten. Ein neuer Benutzer kann mit den verfügbaren Standardanwendungen fast alles andere als die Videobearbeitung ausführen. Mir hat besonders gut gefallen, dass Syncthing installiert wurde, da es ein Tool ist, von dem ich hoffe, dass es weit verbreitet ist, sowohl zum Einrichten von Backups als auch zum Freigeben von Dateien.

Alles in allem gefällt mir, was Apricity versucht zu tun. Das Projekt ist relativ neu und hat einen guten Start hingelegt. Es gibt einige Ecken und Kanten, aber nicht viele, und ich denke, die Distribution wird viele Leute ansprechen, insbesondere diejenigen, die ein Rolling Release-Betriebssystem mit einer sehr einfachen Ersteinrichtung ausführen möchten.

Mehr bei DistroWatch

10 große Verbesserungen in Android 7.0 Nougat

Android 7.0 Nougat ist möglicherweise die bisher beste Version von Android. Aber was unterscheidet es von früheren Versionen des mobilen Betriebssystems von Google? Ein Autor bei Forbes hat eine Liste von zehn großen Verbesserungen in Android 7.0 Nougat.

Shelby Carpenter berichtet für Forbes:

Android 7.0 Nougat ist für die Mehrheit der Nexus-Besitzer verfügbar und wird im Laufe des nächsten Jahres für andere Android-Geräte eingeführt. Nougat (auch als Android N bekannt) bringt eine Reihe großer Änderungen gegenüber Marshmallow, dem letzten Android-Betriebssystem, mit sich. Bevor Sie herunterladen, sind hier einige der größten neuen Funktionen zu erwarten:

1. Bessere Akkulaufzeit

2. Überarbeitete Benachrichtigungen

3. Verwendung mit geteiltem Bildschirm

4. Neue Verwendung für die Übersichtstaste

5. Besser umschalten

6. Überarbeitetes Einstellungsmenü

7. Dateibasierte Verschlüsselung

8. Schnellere Systemaktualisierungen

9. Direkter Start

10. Datenspeicher

Mehr bei Forbes

Hast du eine Zusammenfassung verpasst? Besuchen Sie die Homepage von Eye On Open, um sich über die neuesten Nachrichten zu Open Source und Linux zu informieren .