Sicherheit (nicht Stabilität) Ubuntu vs. Debian
- Ersteller reach
- Erstellt am
Hallo!
Aus gegebenem Anlaß (PRISM, aber auch, weil alle paar Tage neue Ubuntu 12.04 Updates daher kommen) frage ich mich, ob Debian vielleicht sicherer wäre als Ubuntu.
Ich betreibe im Wesentlichen nur einen File Server, brauche also null Features, aber der hängt 24x7 im Netz, sollte also so sicher wie möglich sein.
Weiters wäre die Frage, ob ein Debian System, welches von mir (Linux-Total-Nuß) aufgesetzt und gewartet wird, trotzdem sicher wäre, oder, ob sich das verhält, wie eine stümperhaft aufgesetzte Firewall.
Danke im Voraus!
reach
Aus gegebenem Anlaß (PRISM, aber auch, weil alle paar Tage neue Ubuntu 12.04 Updates daher kommen) frage ich mich, ob Debian vielleicht sicherer wäre als Ubuntu.
Ich betreibe im Wesentlichen nur einen File Server, brauche also null Features, aber der hängt 24x7 im Netz, sollte also so sicher wie möglich sein.
Weiters wäre die Frage, ob ein Debian System, welches von mir (Linux-Total-Nuß) aufgesetzt und gewartet wird, trotzdem sicher wäre, oder, ob sich das verhält, wie eine stümperhaft aufgesetzte Firewall.
Danke im Voraus!
reach
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Die Distribution selbst sollte eigentlich keine zu große Rolle spielen.
Einfach nach außen hin nach Möglichkeit keine Ports offen halten (am besten alle Server die laufen nur auf lokale Ports schalten), dann sollte das Schlimmste schon mal vorbei sein.
Ausnahme wäre, wenn du im Internet einen Service bereitstellen willst, aber dann kommt es eher auf den Service an (also wie sicher die Software ist, auch da sollte es nicht so stark von der Distribution abhängen). Falls du nicht so viel Ahnung davon hast solltest du das aber evtl. auch eher bleiben lassen.
Eine Firewall braucht man nicht zwingend, es könnte höchstens sein, dass jemand versucht deinen Rechner per DOS lahmzulegen (eine Firewall würde hier evtl. helfen, aber eine Garantie gibt es da auch nicht).
Man könnte quasi sagen: Wo nichts ist braucht es auch keine Mauer.
Das Gedöns auf Windows mit Personal Firewall kommt auch eher daher, dass Windows gerne mit offenen Services/Ports ausgeliefert wird und auch nicht jeder Service die Möglichkeit bietet auf lokale Netzwerke zu binden.
Einfach nach außen hin nach Möglichkeit keine Ports offen halten (am besten alle Server die laufen nur auf lokale Ports schalten), dann sollte das Schlimmste schon mal vorbei sein.
Ausnahme wäre, wenn du im Internet einen Service bereitstellen willst, aber dann kommt es eher auf den Service an (also wie sicher die Software ist, auch da sollte es nicht so stark von der Distribution abhängen). Falls du nicht so viel Ahnung davon hast solltest du das aber evtl. auch eher bleiben lassen.
Eine Firewall braucht man nicht zwingend, es könnte höchstens sein, dass jemand versucht deinen Rechner per DOS lahmzulegen (eine Firewall würde hier evtl. helfen, aber eine Garantie gibt es da auch nicht).
Man könnte quasi sagen: Wo nichts ist braucht es auch keine Mauer.
Das Gedöns auf Windows mit Personal Firewall kommt auch eher daher, dass Windows gerne mit offenen Services/Ports ausgeliefert wird und auch nicht jeder Service die Möglichkeit bietet auf lokale Netzwerke zu binden.
JKuehl
Grand Admiral Special
Du solltest eben die üblichen Sicherheitsstandards einhalten:
Ports schließen, root-login über SSH sperren, SSH wenn möglich nur im LAN anbieten und über VPN zugreifen, falls es nicht anders geht dann zumindest nur mit Zertifikat den login ermöglichen. Standard-SSH-Port ändern. Passwörter entsprechend sichern. Einbruchversuche erkennen und auswerten. Den verwendeten Fileserver up-to-date halten.
Ports schließen, root-login über SSH sperren, SSH wenn möglich nur im LAN anbieten und über VPN zugreifen, falls es nicht anders geht dann zumindest nur mit Zertifikat den login ermöglichen. Standard-SSH-Port ändern. Passwörter entsprechend sichern. Einbruchversuche erkennen und auswerten. Den verwendeten Fileserver up-to-date halten.
Der Unterschied zwischen Debian und Ubuntu lässt sich für deine Frage auf eine Sache runterbrechen:
Debian hat üblicherweise wesentlich ältere Software-Versionen als Ubuntu. Bezogen auf Sicherheit kann es nun sein, dass da irgendwann mal Software läuft die mehr bekannte Löcher hat als eben bei neueren Versionen.
Wobei sicher auch Debian recht schnell ist bei Security-Fixes?
Denke auch. dass das alles mehr theoretischer Natur ist. Falls die NSA auf einen Exploit-Fundus zugreifen kann, der Distribution X knackt, dann haben die auch sicher was für Distribution Y.
Semi-professionelle Hacker dagegen haben weniger Zugriff auf 0-Day-Exploits, da würde ich dann auf up-to-date-Software setzen.
Ansonsten hat JKuehl schon alles wichtige gesagt.
Debian hat üblicherweise wesentlich ältere Software-Versionen als Ubuntu. Bezogen auf Sicherheit kann es nun sein, dass da irgendwann mal Software läuft die mehr bekannte Löcher hat als eben bei neueren Versionen.
Wobei sicher auch Debian recht schnell ist bei Security-Fixes?
Denke auch. dass das alles mehr theoretischer Natur ist. Falls die NSA auf einen Exploit-Fundus zugreifen kann, der Distribution X knackt, dann haben die auch sicher was für Distribution Y.
Semi-professionelle Hacker dagegen haben weniger Zugriff auf 0-Day-Exploits, da würde ich dann auf up-to-date-Software setzen.
Ansonsten hat JKuehl schon alles wichtige gesagt.
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Dafür hat Ubuntu eine sehr lässige Politik, wenn es um Patches geht. Oft werden Patches in die Pakete aufgenommen, die noch nicht wirklich Upstream akzeptiert wurden und alleine dadurch entstehen immer wieder neue Probleme (evtl. auch Sicherheitslücken).
Wobei in Debian auch Security Fixes der neueren Versionen des jeweiligen Programms portiert werden. So hat man eine der Versionsnummer nach ältere Version, welche allerdings fehlerfreier ist, als so manche neuere.
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Da die Patches aber nicht oder nicht immer Upstream reviewed werden, kann es durchaus vorkommen, dass der Backport nicht so funktioniert wie gewünscht und evtl. sogar neue Lücken entstehen. Insofern wäre ich da mit solchen Aussagen vorsichtig.
tomturbo
Technische Administration, Dinosaurier
Ja genau!Da die Patches aber nicht oder nicht immer Upstream reviewed werden, kann es durchaus vorkommen, dass der Backport nicht so funktioniert wie gewünscht und evtl. sogar neue Lücken entstehen. Insofern wäre ich da mit solchen Aussagen vorsichtig.
Ich lasse lieber Fehler vom Schmied als vom Schmiedl ändern.
Das resultiert nun mal in einer neuen Version des Originals und nicht in einem hingepfriemelten backport eines nicht am Entwicklungsteam Beteiligten.
PuckPoltergeist
Grand Admiral Special
Wie war das mit den SSL-Schlüsseln bei Debian?Da die Patches aber nicht oder nicht immer Upstream reviewed werden, kann es durchaus vorkommen, dass der Backport nicht so funktioniert wie gewünscht und evtl. sogar neue Lücken entstehen. Insofern wäre ich da mit solchen Aussagen vorsichtig.
Berniyh
Grand Admiral Special
- Mitglied seit
- 29.11.2005
- Beiträge
- 5.206
- Renomée
- 219
Jap, das ist der Klassiker. (Edit: Wobei es eigentlich nicht ganz richtig ist von einem "Klassiker" zu sprechen, so alt ist es ja auch wieder nicht.Wie war das mit den SSL-Schlüsseln bei Debian?
)Man kann es aber auch daran sehen, dass bei fast jedem Projekt im Bugtracker die Distribution ausgewählt werden und da sind sehr viele Bugs gelistet, die wirklich nur bei dieser einen (oder bei wenigen) Distribution auftreten.
Erfahrungsgemäß fährt man mittelfristig wesentlich besser, wenn man sich bei den Patches auf ein Minimum beschränkt und einfach die Upstreamversionen as provided verwendet. Genau aus dem Grund gibt es z.B. bei Exherbo eine recht strikte Patch-Policy.
Daher finde ich z.B. auch das Tanglu Projekt sehr interessant, wobei ich nicht weiß, ob das noch ernsthaft verfolgt wird. Ein bisschen was scheint aber noch auf der ML zu passieren. Ist aber nicht leicht eine Distribution mit wenig Leuten am Leben zu erhalten.
Ähnliche Themen
