Sicherheitslücken bei Linux Mint / Suche nach dem neuen OS

[Teufelskreis]

Hi,

ich habe heute morgen diesen Artikel (http://www.heise.de/newsticker/meld...eitsluecken-trotz-Langzeitpflege-3181830.html) gelesen. Mehr aus historischen Gründen bin ich immer wieder bei Linux Mint gelandet, weil ich längere Zeit einen nVidia-Optimus-Laptop hatte und Xorg unter anderen Betriebssystemen (sogar unter LMDE) immer abgestürzt ist. Ich habe 'ne zeitlang Arch auf meinem den alten Laptop ersetzenden Thinkpad verwendet, da habe ich aber meinen Drucker nicht zum Laufen bekommen (Brother).

Jetzt würde ich gerne weg von Mint, weil ich keine Lust habe, dass hier doch mal Malware einfällt, außer ihr sagt, dass oben beschriebenes Problem bei Mint nicht vorliegt. Inzwischen nutze ich ein Thinkpad, das heißt, Treiber sind überhaupt kein Problem. Wissen eigentlich auch nicht, nutze seit ~5 Jahren Linux, verwalte einen CentOS-Server, hab mal mit nem Debian Sid PC gearbeitet, weiß aber nicht, worauf ich jetzt wechseln möchte. Für meinen Drucker stehen Treiber als *.deb und *.rpm zur Verfügung.

Debian Stable hat vermutlich wenige Sicherheitslücken, ist mir aber ein bisschen zu hardcore -- ich muss auch mal googlen, wie man Sachen in LibreOffice macht, und will da nicht ewig nach 'nem alten Wiki-Eintrag für ne ewig alte Version suchen. Genauso ist es mit (pdf)LaTeX, da ist die aktuellste Version schon 'ne feine Sache. Außerdem entwickle ich ab und an mal Dinge in PHP6.
Mint
Debian Sid ist ein Rolling Release und damit in meinem Kopf genauso eine Bastelarbeit wie Arch -- im Endeffekt brauche ich meinen Laptop als treues Arbeitstier und kann es mir nicht leisten, nach einem Update stundenlang Trouble zu shooten. Ist unter Arch genau einmal passiert, danach ist es runtergeflogen. Bleibt also noch, um zu meinem Drucker kompatibel zu sein, CentOS, Fedora oder Debian Testing.

Bei CentOS 7.2 werde ich vermutlich vor dem gleichen Problem wie bei Debian Stable (uralte Pakete) stehen. Bleibt also nur noch Fedora oder Debian Testing -- bei Fedora sorgt mich etwas das "First"-Prinzip; lande ich damit nicht wieder in dem Rolling-Release-Debian-Unstable-Trouble-Shoot-Dilemma? Ist Debian Testing eine kluge OS-Wahl, auch langfristig?

Danke für eure Ideen

 

[virtus]

Das Problem ist genereller Natur. Die OS-Entwickler kümmern sich um das System selbst und um bestimmte Softwarepakete. Natürlich können sie sich nicht um jede Software kümmern, die irgendwer irgendwann irgendwo online gestellt hat. Entsprechend kann es natürlich passieren, dass Software Sicherheitslücken mitbringt, die nicht länger über die Paketquellen aktuell gehalten wird.

Das "Problem", das ct hier aufzieht, halte ich für recht unbedenklich, wenn gleich es auf jedem Betriebssystem, auch auf Windows oder Mac OS zutrifft.
Die Entwickler hinter Ubuntu stellen für bestimmte Software eben Supportzeiträume zur Verfügung. Da ist es klar, dass sie nicht jede existente Software unterstützen können. Das heißt zunächst mal, dass es einige Pakete gibt, für die Ubuntu generell keine Unterstützung gewährleisten kann. Andere Pakete werden eventuell nicht ganz so lange unterstützt, wie das Betriebssystem als solches.
Das wird dir immer und überall passieren können. Du bist der Administrator deines Systems und du musst dich aktiv darum kümmern. Du kannst dir aussuchen, ob du Software aus Drittquellen installierst, die gar nicht oder eventuell nicht über den gesamten LTS-Zeitraum unterstützt wird. Du solltest wenigstens grob wissen, welche Pakete du installiert hast und wie es mit dem Support aussieht. Wenn ein Paket nicht mehr aktualisiert wird, dann musst du es entfernen und ggf. durch eine neue Version ersetzen.
Du kannst dir die Auflistung ja mal anschauen, auf dem System von ct sind es 61 Pakete, die nicht über den gesamten LTS-Zeitraum unterstützt werden. Der Support der ersten Pakete läuft im Januar 2017 aus, die nächsten laufen erst im April 2019 aus. Ich gehe fast davon aus, dass die Ubuntu-Entwickler diese Pakete rechtzeitig gegen Alternativen austauschen werden, sonst müsstest du dich aber selbst darum kümmern.

Wie gesagt, das Problem besteht so auf jedem System, nur dass du bei den meisten Linuxdistributionen nachschauen kannst, wie lange welches Paket (voraussichtlich!) unterstützt wird.

 

[mathmos]

Jetzt würde ich gerne weg von Mint, weil ich keine Lust habe, dass hier doch mal Malware einfällt, außer ihr sagt, dass oben beschriebenes Problem bei Mint nicht vorliegt.

Mint hat noch ganz andere Probleme.

- Eigene security advisories wird es vermutlich immer noch nicht geben.
- Manche Sicherheitsupdates (Level 4 und 5) werden zum Wohle der Stabilität zurückgehalten und müssen manuell aktiviert werden.
- Ist das Team einfach verdammt klein.

Für meinen Drucker stehen Treiber als *.deb und *.rpm zur Verfügung.

Das lässt sich in der Regel auch unter einer Distribution installieren, die weder das eine noch das andere nutzt. Mittels debtap zum Beispiel. Im Grunde sind das ja nur Archive. Aber gerade bei Brother stehen die Chancen nicht schlecht, dass man gar keine Treiber von der Herstellerseite braucht.

Debian Sid ist ein Rolling Release und damit in meinem Kopf genauso eine Bastelarbeit wie Arch -- im Endeffekt brauche ich meinen Laptop als treues Arbeitstier und kann es mir nicht leisten, nach einem Update stundenlang Trouble zu shooten. Ist unter Arch genau einmal passiert, danach ist es runtergeflogen. Bleibt also noch, um zu meinem Drucker kompatibel zu sein, CentOS, Fedora oder Debian Testing.

Was war denn das Problem bei Arch? Ich betreibe 3 Rechner damit, einer als Server (privat, nicht produktiv). Wenn man sich an die Regeln hält (regelmäßig updaten, vorher eventuell Ankündigungen lesen und beherzigen, und es mit AUR nicht übertreiben) dann läuft Arch in der Regel auch nicht instabiler als so manche Desktopdistribution welche alle x Monate ein Upgrade erfährt. So zumindest meine Erfahrung mit den von mir installierten Paketen.

Im Grund genommen kann man mit jeder Distribution seine Probleme haben. Nimmt man eine die alte Pakete nutzt trifft man oft auf Bugs die erst in einer aktuelleren Version behoben wurden. Nimmt man aktuellere Pakete trifft man unter Umständen auf neue Bugs. Nutzt man PPA oder vergleichbares um bestimmte Pakete aktuell zu halten kann man auch in die Sch... greifen.

Fedora ist halt wieder die "Spielwiese" für Red Hat. Hätte ja z. B. nicht viel gefehlt und Wayland wäre in Version 24 Standard geworden.

Was relativ aktuell sein sollte, aber auch vergleichsweise stabil ist Opensuse Tumbleweed. Hier wird auch auf rolling release gesetzt. Allerdings etwas langsamer als z. B. unter Arch. So ist dort noch Kernel 4.5.0 im Einsatz. Bei Arch inzwischen 4.5.1.

 

[sia]

OpenSUSE Leap? Stabile Basis, aktuelle Applikationen.

 

[electric.larry]

@Teufelskreis: Ich hab ähnliche Anforderungen wie du und möchte mich bei der Arbeit möglichst wenig um Betriebssystem-Probleme kümmern müssen. Ich arbeite seit etwa zwei Jahren auf Mint und muss sagen, dass ich echt zufrieden bin, was Probleme mit Updates oder Ähnliches betrifft.
Ich muss aber gestehen, mein Vertrauen in das System geht jetzt auch nicht so weit, dass ich ein paar Tage vor einer wichtigen Abgabe ein Dist Upgrade machen würd, aber bis jetzt hatte ich keine gröberen Probleme.

Solange wie möglich, werd ich sicherlich mit Mint weiterarbeiten, wenn aber ein Wipe unausweichlich ist, würd ich wahrscheinlich Fedora eine Chance geben. Die Distri ist mir inzwischen von verschiedenen Leuten empfohlen worden, die selbst langjährige Erfahrung mit Linux am Desktop haben.

Nicht jede Sicherheitslücke in einer installierten Anwendung ist auch gleich eine konkrete Bedrohung. Wenn ich z. B. eine Anwendung hab, die nicht ins Netz telefoniert und mit der ich keine kompromittierbaren Dateien aus nicht vertrauenswürdigen Quellen öffne, dann ist das Risiko in vielen Fällen überschaubar. Freund von mir ist zB ein absoluter Winamp Fan und möchte nie mehr auf einen anderen Audioplayer umsteigen. Nachdem der aber eingestampft wurde und es keine Updates mehr gibt fliegen einige Exploits dafür durchs Netz. Jetzt hat man zwar das Sicherheitsrisiko, aber damit es wirklich problematisch werden kann, müsste dir erst ein Angreifer eine modifizierte Datei unterschieben und der Mediaplayer als Root/Administrator ausgeführt werden.
Ich bin jetzt zwar auch kein "Experte" auf dem Gebiet, aber ich denke, in solchen Fällen kann man das Risiko durch vorsichtiges Handling relativ gering halten.

Was die Sicherheit des Systems angeht, muss man halt versuchen abzuwägen, "wie sicher" man sein möchte/muss. Will ich so sicher sein, dass auch jemand mit Skills, der direkt auf mich abzielt, sich die Zähne ausbeist? Kann ich das überhaupt? Oder will ich nur so sicher sein, dass eine random Attacke, eine Malware oder ein Scriptkiddie mich nicht sofort trifft?
Wie sehr ein Datenverlust oder -diebstahl schmerzt, weiss man meist halt erst wieder, wenn außer I/O Errors nichts mehr von der Platte kommt. Trotzdem befürcht ich, dass man sich gegen eine gezielte Attacke kaum noch ohne größeren Aufwand schützen kann.

 

[sia]

Ich habe hier mal einen neuen Thread zum Thema LTS eröffnet, da das ja auch andere Distributionen betrifft: https://ngb.to/threads/22934-Ubuntu...n-genau-durchlesen-sollte?p=664625#post664625

Ich finde, bei Mint sollte man auf jeden Fall die "nicht empfohlenen" Updates anstellen, damit man nicht auf die Willkür der Maintainer angewiesen ist. mathmos sagte das ja bereits:

das Team [ist] einfach verdammt klein.

Mint ist eher ein Hobbyprojekt, auf einem Server würde ich das nicht einsetzen. Ähnlich wie Manjaro ist das nur dazu geeignet, hinter einer Hardware-Firewall/NAT zu stehen. Weder bei Mint, noch bei Manjaro, noch bei Ubuntu kommt sonderlich viel im Upstream an – CLAs und NIH-Syndrom sei dank.

 

[Teufelskreis]

Hallo,

danke schön erstmal für all eure Antworten. Danke virtus, dass du dem Artikel ein bisschen die Schärfe nimmst; dass man natürlich im Laufe der Zeit die Version wechseln könnte, habe ich nicht bedacht.

Mathmos, krass dass so ein kleines Team so schnell für eine so große Verbreitung von Mint sorgen konnte -- dass Updates zurückgehalten werden und mir apt upgrade immer mehr aktualisierende Pakete anzeigt als die Software-Aktualisierung, habe ich auch schon festgestellt. Mein Problem bei Arch war, dass ich den Laptop drei Wochen ausgeschaltet gelassen habe. Danach habe ich geupdatet und beim Reboot ne Kernel Panic bekommen. Da war Rolling Release für mich raus, ich will auch mal 2 Wochen nicht am Laptop sein müssen um Updates für ein System einzuspielen, was ich gerade nicht benutze.

OpenSUSE habe ich ehrlich gesagt nie verwendet, warum, weiß ich auch nicht. Leap sieht interessant aus. Leider gibt's davon ja keine Live-CD, muss also wohl mal eine VM für herhalten.

Danke electric.larry, vielleicht macht es Sinn, ein running system nicht zu ändern, sondern abzuwarten, wie sich das entwickelt.


Jetzt bin ich auch nicht schlauer als vorher, gibt es einen Grund, warum keiner von Debian Testing spricht? Eignet sich das weniger produktiv auf dem Desktop?

 

[sia]

Mein Problem bei Arch war, dass ich den Laptop drei Wochen ausgeschaltet gelassen habe. Danach habe ich geupdatet und beim Reboot ne Kernel Panic bekommen.

Das ist, mit Verlaub, ein Layer-8-Problem. Ich habe einen LTS-, einen Zen- und den Vanilla-Kernel im Bootmanager. Die werden nicht alle gleichzeitig aktualisiert, einer von denen funktioniert also.

Man kann auch auf archlinux.org aktuelle Hinweise zu neuen Paketen finden, z.B. wurde ja zwischendrin das Init-System gewechselt und die 64-Bit-Libraries verschoben. Alles kein Problem, wenn man *vorher* liest. Am besten auch auf die Mailingliste eintragen.

Dass Arch einem da nicht die Hand hält, ist schon klar. Wer das erwartet, sollte kein Arch nutzen. Ich hatte mal meinen Homeserver ein halbes Jahr nicht aktualisiert und mich schon auf das Schlimmste vorbereitet, aber ein -Syu hat reibungslos funktioniert – trotz dass core-Pakete aktualisiert wurden und ein Hinweis auf der Homepage stand. Bei vielen Anderen in #archlinux @ irc.freenode.net hatte ich ähnliche Berichte gehört, dass man also immer sofort alles aktualisieren muss ist ein Mythos. Immerhin zeigt Pacman ja vorher auch an, was aktualisiert werden soll.

 

[Teufelskreis]

Schon möglich, dass ich da nicht aufgepasst habe -- ich habe aber auch keine Lust, vor jedem Update erst jedes Paket abzuchecken, Mailinglisten zu lesen und tausend Hinweise auf einer Internetseite zu lesen, von denen mich der Großteil eh nicht betrifft. Deshalb meinte ich ja, dass ich primär ein funktionierendes, aber sicheres System benötige.

 

[sia]

@Teufelskreis: dann bist du nicht die Zielgruppe von Arch

War ja nicht böse gemeint, nur eine Feststellung. Ich finde auch nicht, dass Arch das beste OS ist, sondern dass jeder das passende OS für den jeweiligen Anwendungsfall finden sollte.

Das kann auch Windows sein

Ich würde Debian oder openSuSE Leap vorschlagen, wie gesagt. Was hältst du von denen?

 

[Teufelskreis]

Leap klingt sehr interessant, ich werde heute Abend mal in ner VM einen Blick drauf werfen, vielen Dank! Hab' OpenSUSE irgendwie völlig aus den Augen verloren.

--- [2016-04-25 22:21 CEST] Automatisch zusammengeführter Beitrag ---

So, ich habe eigentlich direkt Nägel mit Köpfen gemacht und OpenSUSE 42.1 auf der Platte installiert. Weiß nicht, ob ich da kleben bleibe, YaST ist wohl erstmal Gewöhnungssache -- ansonsten gibt's nichts zu meckern, ist halt auch dank GNOME vom Aussehen identisch mit Mint.

 

[musv]

YaST ist wohl erstmal Gewöhnungssache -- ansonsten gibt's nichts zu meckern, ist halt auch dank GNOME vom Aussehen identisch mit Mint.

Yast brauchst du eigentlich nur ziemlich selten. Für die Software-Installation verwendet man zypper bei Suse. Das ist ganz nett.

Hast du Dir mal KDE angesehen? Ist unter Suse normalerweise der Standarddesktop.

 

[Metal_Warrior]

Ich nutze Debian Stable auf meinen Systemen, egal ob Server oder Desktop. Bin sehr zufrieden, brauche aber auch nicht wirklich bleeding edge. Debian Testing (also Sid) ist ein bisschen wie Arch - es kann schonmal was kaputt gehen, das ist aber meist vorher angekündigt. Allerdings ist es beileibe nicht so häufig wie bei Arch, also extra die Mailingliste abonnieren oder die Release-Infos durchlesen muss man nicht wirklich.

OpenSuse hab ich auf einem System laufen und bin sehr unglücklich damit - erstens ist es bei Fehlern sehr empfindlich, zweitens wird alles über Yast gesteuert, und das funktionierte bei der letzten Reparatur des Bootmanagers gar nicht, das hab ich dann manuell über die Skripte des Paketbetreuers laufen lassen müssen, obwohl mir das System ständig gesagt hat, dass das nicht der richtige Weg wäre. In meinen Augen ein Scheißsystem.

 

[electric.larry]

Welchen Window Manager nutzt ihr eigentlich und warum? Ich hab mich über die Zeit gut an Gnome gewöhnt und verspür nur wenig Lust, hier etwas Neues zu probieren. Lohnt sich aus eurer Sicht ein Umstieg auf KDE?

Habt ihr Erfahrung mit Multi-Screen Setups (bevorzug 3 Screens auf Thinkpad + Dockingstation), funktioniert das in eurem WM wie man es sich wünscht?

 

[sia]

Welchen Window Manager nutzt ihr eigentlich und warum?

Xfce/Xfwm, braucht wenige Ressourcen und hat keinen Schnickschnack. Alternativ OpenBox und i3wm, je nach Lust und Laune. Habe nur den internen Compositor von xfwm4 durch compton ersetzt, da ich ansonsten Lags in Spielen und komische Artefakte beim Scrollen hatte.

Ich hab mich über die Zeit gut an Gnome gewöhnt und verspür nur wenig Lust, hier etwas Neues zu probieren. Lohnt sich aus eurer Sicht ein Umstieg auf KDE?

Never change a running system

Habt ihr Erfahrung mit Multi-Screen Setups (bevorzug 3 Screens auf Thinkpad + Dockingstation), funktioniert das in eurem WM wie man es sich wünscht?

Geheimtipp: arandr benutzen. Damit habe ich bisher schon alle Layouts hinbekommen, mit den DE-eigenen Tools nicht immer. Das kann auch Scripts für xrandr erstellen, was ganz nett ist (kann per Tastendruck zwischen 3 verschiedenen Multimonitor-Layouts umschalten).

 

[mathmos]

@electric.larry:

Lohnt sich ein Umstieg auf KDE Plasma? Kommt darauf an, würde ich sagen. Was sind deine Ansprüche? Was vermisst du bei Gnome?

Prinzipiell ziehe ich persönlich Plasma jeder anderen Oberfläche vor. Wobei man aber auch sagen muss, dass z. B. die PIM-Komponenten wie Kmail und Co. oft noch Ecken und Kanten haben. Ist quasi das Stiefkind von KDE. Daher nutze ich selbst Claws Mail anstelle von Kmail.

Was mehrere Monitore unter Plasma betrifft, so hat kscreen derzeit eine unschönen Bug. Nach jedem Neustart wurden die Einstellungen der Monitore zurückgesetzt und ich hatte eine gespiegelte Anzeige anstelle einer einzigen breiten Oberfläche (zwei normale Monitore an einem normalen Rechner). Da ich zum Einstellen aber sowieso nvidia-settings nutze habe ich kurzerhand einfach kscreen deinstalliert. Wayland, falls das für dich von Interesse ist, ist unter KDE Plasma auch noch nicht wirklich fertig. Mit Plasma 5.7 soll sich hier aber einiges tun.

 

[electric.larry]

Naw, mir geht eh nichts ab bei Gnome. Ich hab halt auch keine Langzeit-Erfahrung mit anderen Windowmanagern und weiss nicht was ich verpasse Ausserdem liebäugle ich halt mit Fedora und soweit ich weiss, setzt man dort eher auf KDE, oder?

Das Einzige, das mich momentan ein wenig stört, ist ein seltsamer Freeze, den ich alle paar Tage habe. Dann kann man nur noch die Maus bewegen, alles andere ist aber eingefroren. Mit STRG-ATL-F* kann ich dann nur noch in die Konsole wechseln und den Desktop restarten oder fünf Minuten warten, bis alles wieder normal rennt. Hab das aber nur am Thinkpad, auf dem Desktop mit fast identischem Setup passiert das nicht. Da in den Logs auch überhaupt nichts Auffälliges zu sehen ist, hab ich das einfach so akzeptiert und nutz die Freezes um eine Pause zu machen und Kaffee zu trinken 8)

 

[sia]

Hatte Fedora mit Gnome auf der Arbeit und es hat wunderbar funktioniert.

 

[Teufelskreis]

Hab mir KDE noch nicht angesehen, hab mal KDE4 benutzt und war kein großer Fan. Ob ich bei SuSE bleiben will weiß ich aber auch noch nicht so recht; gerad ne Änderung in der /etc/fstab gemacht und die sieht grauenhaft aus, der mountet 100x die selbe Partition auf unterschiedlichen Pfaden, dabei würde es reichen, die einfach auf / zu mounten. Ich hoffe, die anderen Konfigurationsfiles sind nicht so ne Hölle. Außerdem bin ich gegenüber Btrfs etwas skeptisch, auch wenn das DAS neue Dateisystem sein soll. Ich werd mir das mal ein paar Wochen anschauen, vielleicht probiere ich dann noch Debian Testing aus...

 

[musv]

Welchen Window Manager nutzt ihr eigentlich und warum?

e16. Mangels geeigneter Themas hatte ich vor ca. 10 Jahren mal eins selbst gebastelt, was ich noch immer verwende.

Bei allen Familienrechnern hab ich aber KDE installiert. KDE4 ist richtig gut geworden. Der Umstieg auf die 5 ist noch etwas hakelig. Und obwohl ich e16 hab, verwende ich KDE als Unterbau, d.h. Systemeinstellungen, Dienste und natürlich die Anwendungen. Anstatt KMail verwende ich aber auch Claws Mail seit mittlerweile ca. 14 Jahren (damals Sylpheed und Sylpheed Claws).

Mit Gnome bin ich nie warm geworden. Da sind mir die Einstellungen zu versteckt.