Optionen für sicheren aktuellen Kernel in Debian 12

[Amsel]

Hallo,
ich wollte mir im Sommer Debian 12 auf meinen neuen Laptop installieren, allerdings hat der Kernel 6.1 noch nicht alle benötigte Hardware unterstützt. Jetzt läuft Ubuntu darauf, und Debian in einer Virtual-Machine und ich wollte auf die Kernel-Backports warten. Diese sind ja mittlerweile verfügbar und die Kernel sind auch für Secure-Boot signiert. Mir ist aber aufgefallen, dass neue Versionen nur sehr verzögert bereitgestellt werden und die FAQs sagen auch, dass Backports keine Security-Updated erhalten.

Was macht ihr, wenn ihr einen aktuelleren Kernel benötigt? Ich sehe nur die Optionen aufs beste hoffen mit den Backports, Debian-Testing verwenden oder Fremdquellen (Liquorix wird ja oft empfohlen) dazunehmen. Leider gefallen mir alle drei Optionen nicht so besonders.

[QT]

Kernel selbst kompilieren

[Amsel]

Kernel selbst kompilieren

Ja, habe ich auch schon überlegt. Aber es ist ein kleiner 14"-Laptop . Testweise könnte ich das mal machen. Und dann müsste ich den Kernel selbst signieren oder Secure-Boot wieder ausschalten.
Oder auf Debian 13 warten wäre noch möglich.

[KP97]

Im Archiv befinden sich sämtliche Pakete, u.a. auch Kernelpakete, die in den jeweiligen Repos stehen.
Diese kann man einzeln herunterladen und mit dpkg -i installieren. Sollte es Abhängigkeiten geben, z.B. Xorg, kann man diese ebenfalls mauell herunterladen.
Aber normalerweise passiert das nicht und Du hast die Pakete von Debian und nicht von einer Fremdquelle.

http://snapshot.debian.org/

[rhHeini]

Was macht ihr, wenn ihr einen aktuelleren Kernel benötigt? Ich sehe nur die Optionen aufs beste hoffen mit den Backports ...

Was gefällt Dir an den Backports nicht? Das ist die beste Option die Du hast. Ich fahre seit vielen Jahren auf allen meinen PCs die Backports-Kernel, funzt einfach.

Secure Boot ist für mich aber ein absolutes MS-NoGo. Wird konsequent abgeschaltet.

[Amsel]

Entschuldigt bitte, dass ich mich nicht mehr gemeldet habe. Bei mir hat es einen größeren Schaden im Haus gegeben und da was und ist so viel zu tun gewesen mit Handwerkern und der Versicherung, dass ich keine Kraft mehr hatte für die Kernel-Frage.

Im Archiv befinden sich sämtliche Pakete, u.a. auch Kernelpakete, die in den jeweiligen Repos stehen.

Danke, das schaue ich mir mal an.

Was gefällt Dir an den Backports nicht? Das ist die beste Option die Du hast. Ich fahre seit vielen Jahren auf allen meinen PCs die Backports-Kernel, funzt einfach.

Secure Boot ist für mich aber ein absolutes MS-NoGo. Wird konsequent abgeschaltet.

Mir ist in meiner Debian-VM aufgefallen, dass die Backport-Kernel Wochen bis Monate hinter den Mainline-Releases liegen. Dann habe ich recherchiert, wie die Backports Updates bekommen. Und in der Debian-Docu steht, dass es keine Security-Fixes gibt (https://backports.debian.org/FAQ/). Aktuell ist Backport-Kernel 6.5.10, der letzte Mainline 6.5 war 6.5.13 und der ist seit Ende Novemer EOL.
Vielleicht ist das auch gar kein echtes Problem und für den Backport-Kernel arbeiten genug Leute, dass die Fixes für echte Probleme immer schnell in die Backports kommen. Aber ich weiß nicht, ob das so ist. Die Ubuntu-Kernel erhalten auf jeden Fall öfters Updates.

Secure-Boot habe ich jetzt auch das erste mal aktiv gelassen. Praktisch wird es mich wahrscheinlich nicht vor irgendwelchen Angriffen schützen können, da ich den Rechner sowieso nur alleine verwende. Eine Schadsoftware, die einfach unter meinem User läuft, hat ja damit schon Zugriff auf alle Daten und muss sich nicht noch im Kernel einnisten. Aber interessehalber möchte ich es aktiviert lassen.

[Amsel]

Ich habe heute gesehen, dass hier im Wiki steht (https://wiki.debianforum.de/Backports#W ... Backports?)

Seit Squeeze sind die Backports offizieller Bestandteil des Debian-Projektes und werden von Debian-Security mit Sicherheitsupdates versorgt.

Das wahr dann wohl früher mal so, bei debian.org steht ja unter dem Link in meiner vorherigen Nachricht:

Q: Is there security support for packages from backports.debian.org?
A: Unfortunately not. This is done on a best effort basis by the people who track the package, usually the ones who originally did upload the package into backports

Meint ihr, ich kann das hier im Wiki anpassen? Oder ist das noch umstritten? Ich scheine ja der einzige zu sein, der den Backports nicht so richtig traut.

Ansonsten habe ich jetzt meinem aktuellen Laptop erstmal Fedora installiert, das hat sehr aktuelle Kernel-Versionen. Mal schauen, ob das häufiger zu Problemen führt. Vielleicht stelle ich später meinen alten Laptop auf Debian 12 um, der müsste ja von stable gut unterstützt werden. Vor über 10 Jahren hatte ich mal ein Jahr lang Debian Testing installiert, aber da sind mir zu viele Updates gekommen.

[KP97]

Die Backports sind Teil des offiziellen Debian Repos und dem Inhalt kann sehr wohl vertraut werden. Die Pakete werden von den Maintainern erstellt und sind ebenso mit einem Keyring gesichert wie die restlichen Pakete in allen anderen Repos.
Was spricht also dagegen, ab und zu mal in die Paketdatenbank zu schauen, ob es neue Versionen gibt?
Ich vermute ja mal, daß Du eh bei neuen Kerneln selbst entscheiden willst, ob Du ein Upgrade haben möchtest, und daher _kein_ Metapaket installiert hast.
Sicherheitspatches fließen immer in alle unterstützten Versionen, das ist also nicht das Kriterium.

OT: Der Weg, den Fedora mittlerweile eingeschlagen hat, gefällt mir absolut nicht mehr. Da lobe ich mir doch mein Debian Sid, da weiß ich was ich habe und kann den Inhalt beeinflussen.

[Amsel]

Die Backports sind Teil des offiziellen Debian Repos und dem Inhalt kann sehr wohl vertraut werden. Die Pakete werden von den Maintainern erstellt und sind ebenso mit einem Keyring gesichert wie die restlichen Pakete in allen anderen Repos.
Was spricht also dagegen, ab und zu mal in die Paketdatenbank zu schauen, ob es neue Versionen gibt?
Ich vermute ja mal, daß Du eh bei neuen Kerneln selbst entscheiden willst, ob Du ein Upgrade haben möchtest, und daher _kein_ Metapaket installiert hast.
Sicherheitspatches fließen immer in alle unterstützten Versionen, das ist also nicht das Kriterium.

OT: Der Weg, den Fedora mittlerweile eingeschlagen hat, gefällt mir absolut nicht mehr. Da lobe ich mir doch mein Debian Sid, da weiß ich was ich habe und kann den Inhalt beeinflussen.

Das war von mir schlecht formuliert. Ich vertraue natürlich den Paketen von Debian, auch den Backports. Nur bekommen die Backports laut den offiziellen FAQs keine Updates vom Sicherheitsteam, die Updates kommen vom Backport-Betreuer nach "best effort". Auf meinem Desktop wäre mir das z.B. genug, da läuft jetzt auch ein Ubuntu 22.04, bei dem alle möglichen Pakete nur nach "best effort" aktualisiert werden. Aber hier im Wiki steht es halt anders, als in der offiziellen Beschreibung, wie ich vorher verlinkt habe.

Momentan schafft es wohl der Kernel 6.6 nicht nach Testing und ist deswegen vermutlich auch nicht in den Backports. Da gibt es eine gute Übersicht: https://qa.debian.org/developer.php?ema ... debian.org.

Kernel-Updates möchte ich schon alle haben, also nutze ich das Metapaket. Was spricht denn dagegen, alle Updates mitzunehmen?

Zu Fedora, so richtig wohl fühle ich mich damit auch nicht. DIe Kommunikation von denen wirkt auf mich zum Teil zu sehr wie moderne Marketing-Sprache und nicht immer ehrlich. Aber die Update-Häufigkeit scheint für mich ganz gut zu passen. Die Erfahrung zeigt dann später, ob mein Eindruck richtig ist.

[KP97]

Kernel-Updates möchte ich schon alle haben, also nutze ich das Metapaket. Was spricht denn dagegen, alle Updates mitzunehmen?

Die Updates, die ja Sicherheitspatches sind, sollst Du schon mitnehmen, klar. Der Sinn des Metapaketes besteht darin, daß Updates bei einem Systemupdate direkt mit heruntergeladen und installiert werden. Wenn man also nicht genau liest, hat man plötzlich einen neuen Kernel, den man evtl. gar nicht wollte. Im Metapaket befinden sich nur Links auf den "echten" Kernel im Repo. Ich bevorzuge die gezielte manuelle Auswahl des Kernels.
Ich hatte ja schon geschrieben, daß Du jederzeit einen aktuellen 6.6 aus dem Archiv herunterladen und installieren kannst. Dein alter Kernel bleibt ja im System und kann jederzeit wieder gestartet werden, sollte Dir irgendwas am aktuellen Kernel nicht gefallen.

[Amsel]

Danke, das werde ich mal probieren. Bei nächster Gelegenheit kommt dann Debian auf meinen alten Laptop, dann kann ich damit ein bisschen experimentieren.