Debian – Für Stabilität und Freiheit

CEO · Veröffentlicht am

Debian bzw. das Open Source Debian Projekt ist ein Zusammenschluss von Individuen, die auf ein gemeinsames Ziel hinarbeiten. Die Entwicklung eines freien Betriebssystems, dass frei für alle verfügbar ist. Und wenn dabei das Wort frei fällt, spricht man von der wahren Software-Freiheit. Damit zählt Debian für mich persönlich eher zu den sympathischeren Distributionen, mit einer äußerst hilfsbereiten und qualifizierten Community.

Debian GNU/Linux basiert auf den grundlegenden Systemwerkzeugen des GNU-Projektes sowie dem Linux-Kernel.

Die aktuelle Version ist Debian 11 „Bullseye“ und als Vorabversion gibt es bereits Debian 12 „Bookworm“. Es bietet eine große Auswahl (Zurzeit ca. 60.000) an Anwendungsprogrammen und Werkzeugen. Auch wird Debian als Basis für viele andere Linux Distributionen genutzt. Eines der Bekannteren Ubuntu, welches eher nicht mehr zu meinen persönlichen Favoriten gehört.

So ging es los

Im August 1993 hat Ian Murdock mit der Arbeit an einem neuen Betriebssystem angefangen. Es sollte offen sein, ganz im Sinn von Linux und GNU. Er verschickte eine offene Einladung an andere Software-Entwickler und lud sie ein, bei einer Software-Distribution mitzumachen, die auf dem damals noch recht jungen Linux-Kernel basieren sollte. Debian sollte sorgfältig zusammengestellt und genauso gewissenhaft betreut und unterstützt werden. Dabei sollte es ein offenes Design aufweisen und Beiträge und Unterstützung aus der Freien-Software-Gemeinschaft einfließen lassen.

Alles begann mit einer kleinen, eingeschworenen Gruppe von Hackern von freier Software und wuchs zu einer relativ großen, gut organisierten Gruppe aus Entwicklern, Beitragenden und Anwendern heran. Mittlerweile fasst das Debian-Projekt mehr als eintausend aktive Entwickler und Unterstützer auf der ganzen Welt.

Die Satzung

Ein Projekt mit dieser Größe braucht eine gute Organisationsstruktur. Aus diesem Grund hat das Debian-Projekt klare Regeln und Richtlinien, die man hier unter der Satzung einsehen kann.

Debian – Das Wieso

Manche wundern sich, warum so viele Menschen dafür brennen, so viel Freizeit in das Programmieren, Verpacken und Betreuen von Software zu investieren und sie dann auch noch zu verschenken. Dafür gibt es eine ganze Reihe von Gründen.

Manche Leute sind von Natur aus einfach hilfsbereit und haben mit der Einbringung in ein freies Software-Projekt ihren Weg gefunden, diese Hilfsbereitschaft auszuleben.

Viele Entwickler schreiben Programme, um Computer sowie verschiedene Architekturen und Programmiersprachen besser zu verstehen.

Einige Unterstützer möchten sich für all die freie Software revanchieren, die sie benutzen dürfen und bringen sich deshalb ein. 

Dann gibt es noch viele AkademikerInnen, die an freier Software entwickeln, um ihre Kenntnisse zu erweitern und um die Ergebnisse ihrer Forschungen bekannt zu machen.

Und zu guter Letzt gibt es Unternehmen, die bei der Entwicklung und Betreuung von freier Software helfen, um Einfluss darauf zu nehmen, wie sich die Software weiterentwickelt. Besonders dann, wenn man neue Features schnell implementiert haben möchte.

Ich persönlich bin bei dem ein oder anderen Projekt dabei, weil mich die Technologie an sich interessiert und mir die Zusammenarbeit mit Menschen sehr viel Spaß macht. Und nachdem mir relativ schnell langweilig wird, benötige ich immer wieder neuen Input. Letzteres gilt natürlich für die Technologie und weniger für die Menschen. Im Grunde genommen, beteiligt man sich meistens an Open Source bzw. in diesem Kontext als Debian-Entwickler, für den Spaß und um gemeinsam etwas großartiges zu erschaffen.

Ideologie und unfreie Software

Die Debian Gemeinschaft glaubt an die freie Software. Dennoch ist es respektiert, dass Menschen manchmal unfreie Software auf ihren Computern installieren müssen. Aus diesem Grund gibt es den Beschluss seitens der Debian Entwickler, diese Menschen nach Möglichkeit zu unterstützen, daher gibt es eine immer größer werdende Anzahl von Paketen, die unfreie Software auf einem Debian-System nachinstallieren lässt.

Diese Tatsache kann besonders zu Beginn relativ herausfordernd sein, da man bereits zur Installation von Debian nicht freie Treiber Pakete für diverse Hardware installieren muss, die nicht standardmäßig auf den Installationsmedien mitgeliefert werden. Besonders betroffen hierbei, sind in der Regel die Treiber für die Netzwerkkarte, da man diese bereits bei der Installation benötigt, um aktualisierte Pakete bereits bei der initialen Installation mitzuinstallieren. Doch dies werde ich, mit einer hohen Wahrscheinlichkeit, bei einem späteren Beitrag nochmals ausführlich thematisieren.

Das Projekt

So gesehen, kann sich jeder als Debian Entwickler registrieren, der den sogenannten New-Member-Prozess erfolgreich durchläuft. Die Bewerber kommen hinsichtlich ihrer Kenntnisse und Fähigkeiten auf den Prüfstand. Außerdem wird sichergestellt, dass sie mit der Philosophie des Projektes vertraut sind.

Der Name des Betriebssystems leitet sich von den Vornamen des Debian-Gründers Ian Murdock und seiner damaligen Freundin und späteren Ehefrau Debra Lynn ab. Bereits wenige Monate nach der Gründung, im Mai 1994, entschied sich das Projekt zu einer Änderung des offiziellen Namens von Debian zu Debian GNU/Linux.

Letzteres ging mit der Auffassung der Free Software Foundation einher, dass das häufig als Linux bezeichnete Betriebssystem eine Variante des GNU-Systems sei. Dahingehend gab es einen relativ bekannten Namensstreit, den ich hier nicht wirklich thematisieren werde. Wen es aber interessiert, kann gerne hier vorbeischauen.

Allgemein spricht man nur noch von Debian, wenn man von Debian spricht 😀

Das System ist bekannt für seine Paketverwaltung dpkg und deren Frontend APT. Mit diesen ist es möglich, alte Versionen von Debian GNU/Linux durch aktuelle zu ersetzen oder neue Softwarepakete zu installieren. Sie sind ebenfalls dafür zuständig, alle von einem Programm benötigten Abhängigkeiten aufzulösen, also alle Programmpakete zu laden und zu installieren, welche die gewünschte Software benötigt.

Sicherheit

Alle Probleme mit der Software sind öffentlich behandelt, so auch sämtliche Sicherheitsprobleme. Aspekte der Sicherheit sind öffentlich auf der debian-security-announce-Mailingliste zur Diskussion freigegeben. Debian‘s Sicherheitsgutachten (Audits) werden über eine öffentliche Mailingliste versendet (Sowohl unter den Entwicklern als auch mit den externen Mailinglisten) gleichzeitig auf einem öffentlichen Server bekanntgegeben.

Durch diese Handhabung verspricht man sich ein schnelleres Auffinden von Sicherheitslücken und damit die Möglichkeit, diese auch eher beheben zu können. Die entgegengesetzte Herangehensweise des Security Through Obscurity (Sicherheit durch Unklarheit bedeutet, dass man sich in der Sicherheitstechnik auf die Geheimhaltung des Entwurfs oder der Implementierung als Hauptmethode zur Gewährleistung der Sicherheit eines Systems oder einer Komponente verlässt) ist dagegen als unpraktikabel angesehen. 

Die Tatsache, dass die Entwicklung der Distribution öffentlich sichtbar unter Beteiligung einer Vielzahl von Personen geschieht, erfordert besondere Sicherheitsmaßnahmen. Änderungen an Paketen sind grundsätzlich mit einem verifizierbaren Schlüssel digital signiert. Die Überprüfung der Gültigkeit der Signatur erfolgt beim Anwender vor der Installation. Diese Maßnahme soll es Dritten erschweren, schädliche Software in Debian-Pakete einzuschleusen.

Die Paketbetreuer passen die Sicherheitsaspekte ihrer jeweiligen Software an die allgemeinen Grundsätze von Debian an. Daher sind Dienste nach der Installation oft als „sicher“ voreingestellt, was von einem Benutzer als „Einschränkung“ empfunden werden kann. Dennoch versucht Debian, Sicherheitsaspekte und einfache Administration abzuwägen. Zum Beispiel werden Dienste wie ssh und ntp nicht inaktiv installiert, wie es bei den Distributionen der BSD-Familie üblich ist. Auf BSD werde ich in einem zukünftigen Beitrag eingehen.

Wenn ein Sicherheitsproblem in einem Debian-Paket entdeckt wird, kommt es zusammen mit einer Einschätzung der dadurch entstehenden Gefahr in die Öffentlichkeit bzw. wird auf den vorher erwähnten Wegen publiziert. Parallel wird so schnell wie möglich ein Sicherheitsupdate dieses Pakets vorbereitet und auf speziellen Servern veröffentlicht. Kritische Sicherheitslücken werden auf diese Weise häufig innerhalb von Stunden geschlossen.

An dieser Stelle ist es vielleicht sinnvoll zu erwähnen, dass die von Debian angepasste Implementierung des für die Schlüsselerstellung zuständigen Zufallsgenerators der OpenSSL-Bibliothek zwischen September 2006 und Mai 2008 mit einer erheblichen Sicherheitslücke lief. Die generierten geheimen Schlüssel konnten abgeschätzt und damit in kurzer Zeit (vor-)berechnet werden (1024- und 2048-Bit-Schlüssel in ungefähr zwei Stunden). Insbesondere OpenSSH und die sichere Kommunikation in Webbrowsern waren davon betroffen.

Das Sicherheitsrisiko besteht weiterhin für alle RSA-Schlüssel, die in diesem Zeitraum auf betroffenen Systemen erstellt wurden und seit der Aktualisierung der Bibliothek nicht neu erstellt wurden. Auch alle DSA-Schlüssel, die jemals von einem Rechner mit fehlerhaftem Zufallszahlengenerator verwendet wurden, sind seitdem unsicher. Selbst wenn diese ursprünglich auf einem Rechner mit korrekt arbeitendem Zufallszahlengenerator erstellt wurden. Zu einem der größeren Sicherheitslücken kam es auch im Jahr 2019. Denn da wurde in dem Paketmanagertool von Debian („apt“ bzw. „apt-get“) eine Sicherheitslücke entdeckt, die es einem Man-in-the-Middle-Angreifer ermöglichte Code bei einem Update auszuführen.

Fun Facts

Die Stadt München war zwischen 2006 und 2013 mit Debian-basierten Betriebssystemen LiMux auf freier Software unterwegs. Spekulationen zufolge switchten sie durch Einfluss von Microsoft, da sie mit einer Deutschland-Zentrale von Unterschleißheim nach München-Schwabing umzogen, zu Microsoft. Dies könnte mit der Gewerbesteuer an die Stadt München zusammenhängen, meinte der ein oder andere Autor im Manager-Magazin.

Fazit

Wie bereits erwähnt, empfinde ich Debian als äußerst sympathisches Projekt bzw. Distribution. Nichtsdestotrotz ist es, meiner Meinung nach, noch kein einsteigerfreundliches Betriebssystem. Zum einen, wegen der unfreien Treiber, die gegebenenfalls vor- oder nachinstalliert werden müssen und zum anderen, weil grundsätzlich jedes System nach der Neuinstallation Sicherheitslücken enthält, die von fähigen Personen geschlossen werden müssen. Debian GNU/Linux bietet umfangreiche Möglichkeiten, das System vor unbefugten Zugriffen abzuschotten. Allerdings reicht es nicht aus nur Sicherheits-Updates aufzuspielen. Der Anwender selbst kann und muss aktiv sein System „härten“. Und dafür muss man schon einiges an Fachwissen mitbringen.

Sicherlich kann sich der Nutzer über Sicherheitsrisiken unter den genannten Quellen bereits im Vorfeld informieren. Doch auch während und nach der Installation des Debian-Betriebssystems muss der Nutzer auf einige grundlegende Dinge achten. Dies beginnt bei den BIOS-Einstellungen, geht über die Absicherung des Bootloaders und schlussendlich bei der Installation von Sicherheits-Patches bzw. zur Anpassung von Diensten und sicherheitsrelevanten Dateien.

Daher ist es vielleicht sinnvoll, mit einem „einfacheren“ System wie Ubuntu zu beginnen und sich so langsam in die Materie einzuarbeiten, wenn man in der Zukunft etwas unabhängiger und konsequenter unterwegs sein will.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.