Sicherheit Debian vs Ubuntu

[arch0s]

Liebe Debian Freunde,

Da mir die Sicherheit vom Betriebssystem sehr am Herzen liegt, möchte ich mit euch ein bisschen darüber quatschen.
Ich habe in den ganzen Jahren sehr viele Linux Distris ausprobiert, die meiste Zeit habe ich aber mit Xubuntu verbracht.

In letzter Zeit habe ich mich intensiv mit Tails auseinandergesetzt, aber ich muss ehrlich gestehen, auch wenn ich
bisschen paranoid bin, alltagstauglich ist Tails definitiv nicht. Ich finde die Distribution echt genial, aber es ist halt
eher für Ausnahmesituationen gedacht. Dank Tails (Debian&Gnome) bin ich nun aber auf Debian gestossen und
bin echt froh darüber...

Nun habe ich aber als Debian Anfänger paar Fragen an euch:

Ist Debian sicherer wie Ubuntu?
Ich weiss das ist ein bisschen eine scheiss Frage, aber was spricht für Debian und was für Ubuntu?

Debian Stable und Sicherheitsupdates
Ich besitze eine WordPress Website und das Backend hat mich heute darauf hingewiesen, dass ich
mit einem veralteten Firefox Browser unterwegs bin. Liegt das daran, dass es eine Stable Version ist,
oder liegt es daran, weil es eine Firefox ESR Version ist? Ich gehe davon aus, dass Debian Stable nur
selten Updates zur Verfügung stellt, aber bleibt die Software dadurch sicher? Firefox Version: 52.8.1 (64-Bit)

Zusätzlich zu der Standardinstallation
Nebst der Debian Standardinstallation musste ich leider 2 proprietäre Treiber installieren. Ansonsten habe ich
noch die Privatsphären Einstellungen in Debian bearbeitet, NoScript, HTTPS Everywhere und uBlock Origin in
Firefox hinzugefügt und ja, das wars eigentlich auch schon. Was könnt ihr noch empfehlen um die Sicherheit
ein wenig zu erhöhen?

Muss ich mich noch mit Firewalls auseinandersetzen oder sonst irgendwas? Was macht Ihr nach einer Installation?

Beste Grüsse, arch0s

[DeletedUserReAsG]

Ist Debian sicherer wie Ubuntu?

Ist ein VW schneller als ein Audi? Oder lässt sich so eine Aussage vielleicht doch nur für zwei konkrete Fahrzeuge mit konkreter Ausstattung (übertragen: konkrete Installationen mit konkreter Konfiguration) treffen? Du kannst sowohl bei Debian, als auch bei Buntu Sachen so fehlkonfigurieren, dass das System offen wie ’n Scheunentor ist.

[TomL]

Ist Debian sicherer wie Ubuntu?

Der Unterschied in der Sicherheit liegt imho allein im jeweils in der Distri etablierten User- und Community-Verhalten. Soll heissen, die User sind diejenigen, die die eigentlich vorhandene Sicherheit entweder demontieren oder -wie bei Debian- sogar härten. Den leichtsinnigen und teilweise sogar beworbenen Umgang mit Fremdquellen (ppa's) gibt's bei Debian nicht. Darüber hinaus halte ich grundsätzlich alle Betriebssysteme für potentiell unsicher, in denen der User sich mit seinem eigenen Password Admin-Rechte aneignen und damit Veränderungen am System durchführen kann. Damit wird dem möglichen Missbrauch durch Schadsoftware Tür und Tor geöffnet. Das gibt's so bei Debian nach dem Default-Setup auch nicht.

Jm2c

[schwedenmann]

Hallo


Warum sollte Distri xy sucherer sein als Distri xyz ?


Ich kann das nicht nachvollziehen. Die Sourcen sind bei allen identisch (also gimp in Arch, istr gimp in Debian ist gimp in Slackware). Wenn also die Sourcen unsicher sind, sind es die binaries der distris auch. Und jetzt komm mir keiner und sagt, aber die Admins in Debian prüfen die Sourcen auf bugs. Dazu haben die a.) kein Zeit, b. ) ist die Frage ob die das überhaupt können (Stichwort Ausbildung vlllt. nur einen BA gemacht, schließlich ist es was anderes Sicherheitslücken zu finden, als zu Programmieren) und zuletzt, können die das bei einigen Programmen gar nicht, da die viel zu groß sind (vom Codeumfang), um ihn a. vollkommen zu verstehen, wenn man ihn nicht selbst geschrieben hat und b. um dann auch bugs zu finden. Ganz davon ab, das in der Vergangenheit dieses System (also Admins prüfen die SW die sie kompilieren) schon mehrfach komplett versagt hat.


mfg
schwedenmann

[Lord_Carlos]

Ubuntu hat glaube ich etwas mehr vorinstalliert, wenn man nicht von der standard Desktopinstallation abweicht. Dadurch hat man eine groessere Angriffsfläche.
Glaube da tut sich aber nicht viel.

Muss ich mich noch mit Firewalls auseinandersetzen oder sonst irgendwas? Was macht Ihr nach einer Installation?

Als normaler Desktop Benutzter der hinter einem Router sitzt und keine "Dienste" installiert hat? Ne, normal nicht.

Ich installiere oft SSHd auf meine Rechner. Dann ist es besser wenn man den remote root login zu macht, und am besten nur user login via Schluesselbund erlaubt.

[TomL]

Uuups...eine so wichtigere Frage und glatt überlesen....

Was macht Ihr nach einer Installation?

Einer Debian-Installation...?... ganz einfach, mich darüber freuen, dass ich von diesem Rechner jetzt für mindestens 2 Jahre nix mehr höre.... ich meine hinsichtlich Probleme oder Schwierigkeiten.... die laufen einfach alle seit Jahren völlig ohne rumpeln und ruckeln durch.

.

[schwedenmann]

Hallo

Was macht Ihr nach einer Installation?

Im Gegensatz zu @TomL installieren ich immer zuerst den mc, da ich lieber mcedit, als nano, joe oder gar vi zum Editieren nutze und mc afaik bei keiner Installation (außer einer Vollinstallation, also GUI + große DE)) mitinstalliert wird.

mfg
schwedenmann

[guennid]

... installiere ich immer zuerst den mc, da ich lieber mcedit, als nano, joe oder gar vi zum Editieren nutze und mc afaik bei keiner Installation (außer einer Vollinstallation, also GUI + große DE)) mitinstalliert wird.

[uname]

Bei Ubuntu besteht meiner Meinung nach ein höheres kommerzielles Interesse als bei Debian. So gab oder gibt es in Ubuntu irgendwelche Funktionen wie eine Amazon-Suche, die rein kommerziellen Gründen diente oder dient. Natürlich lässt sich diese deaktivieren. Es ist aber ein wenig wie bei Windows 10, wo für den Anwender vorteilhafte Datenschutzeinstellungen nicht defaultmäßig vorgegeben sind, sondern vom Anwender aktiv eingestellt werden müssen. Davon halte ich nichts.

Wenn du nicht freie Software nutzen musst, so ist das so. Du kannst mal vrms installieren und schauen was der Befehl "vrms" tatsächlich ausgibt.

Sicherheitslücken entstehen zudem mit jeder zusätzlichen Software. Es ist einfach so, dass Gnome sehr wahrscheinlich mehr Sicherheitslücken hat als Xfce und Xfce mehr als Openbox. Das ist einfach so, da der Softwareumfang geringer ist. Erhöhe die Sicherheit des Systems durch Weglassen unnötiger Softwarekomponenten.

Für die tatsächliche Sicherheit ist das aber alles nicht relevant. Debian oder auch Linux ist so wenig verbreitet, dass (fast) kein Angreifer bei Clients Sicherheitslücken ausnutzt. Mir ist zumindestens keine bekannt. Eine Sicherheitslücke in z. B. Adobe Flash wird bestimmt nicht ausgenutzt, da entsprechender Schadcode auf .exe endet

Auf Servern ist das anders. Alleine Wordpress zu verwenden ist eine üble Sicherheitslücke. Wahrscheinlich hättest du deine kleine Webseite besser direkt in HTML oder mit einen Flat-File-CMS [1] bauen können. Auch hättest du vielleicht etwas mehr über Webdesign gelernt. Gerne kannst du mir eine PN mit deiner privaten Webseite schicken. Vielleicht kann ich dir ein alternatives CMS empfehlen.

[1] https://cmsstash.de/empfehlungen/flat-file-cms
(dieses CMS ist mit https://typemill.net erstellt, CMS enthält jedoch keinen Online-Editor)

[TomL]

Im Gegensatz zu @TomL installieren ich immer zuerst den mc, da ich lieber mcedit...

Nix mit Gegensatz sowohl den MC als auch den Nice-Editor zähle ich noch zum eigentlichen Setup. Die beiden sind der erste apt-install überhaupt. Und den 'ne' aus gleichem Grund , weil ich nano und vim für viel zu un-intuitiv und für viel zu kompliziert halte, die ignorieren ja imho jeden Standard.

[Nice]

Das ist so typisch nett für das Debianforum:

Da fragt jemand in aller Unschuld und Naivität nach Sicherheitsunterschieden zwischen Debian und Ubuntu und der Thread landed bei der Beweihräucherung des Midnight-Commanders.

Weiter so!

[uname]

Das ist so typisch nett für das Debianforum:

Wirklich nice ist, dass dann ein paar Seiten weiter irgendwann der Thread von "Sicherheit" nach "Smalltalk" verschoben wird. Schlimm ist nur, dass die Hardcore-Debianforum-Anwender das gar nicht merken, da sie immer alle Beträge sortiert nach "Eigene Beiträge" oder "Neue Beiträge" lesen

[Radfahrer]

Darüber hinaus halte ich grundsätzlich alle Betriebssysteme für potentiell unsicher, in denen der User sich mit seinem eigenen Password Admin-Rechte aneignen und damit Veränderungen am System durchführen kann.

Ich weiß, was du meinst, aber ob der User mit seinem eigenen Passwort root-Rechte erlangt oder das root-Passwort kennt, ist doch egal. Ich sehe da keinen Unterschied. Wer admin-Rechte hat, kann alles machen. Egal, ob mit sudo oder als root.

[TRex]

Okay, sudo wurde erwähnt. Die amazon-Suche auch. Fehlt noch der Einführungszeitraum von systemd, dann können wir zu godwins law übergehen.

[TomL]

Ich weiß, was du meinst, aber ob der User mit seinem eigenen Passwort root-Rechte erlangt oder das root-Passwort kennt, ist doch egal. Ich sehe da keinen Unterschied. Wer admin-Rechte hat, kann alles machen. Egal, ob mit sudo oder als root.

Nur gehts eben genau darum nicht... also zumindest nicht beim Thema ursächlich vorhandene "Betriebssystem-Sicherheit"... denn User-Verhalten hat nix mit der angesprochenen ursprünglich vorhandenen Basis der Systemsicherheit zu tun. Mit dem Wechsel zu root wird das User-Terminal verlassen, mit der Verwendung "sudo" eben nicht. Beim ersteren hat das User-Terminal weiterhin nur die User-Rechte, beim zweiten hat das User-Terminal auf einmal verdeckte Root-Rechte, die ziemlich simpel missbraucht werden können. Das ist für mich ein gravierendes Manko bei der in diesem Thread (anscheinend) verlangten Sicherheit. Aber wir sollten TRex folgen und das nicht weiter erörtern... das wurde hier schon oft genug besprochen, diskutiert und debattiert.... und weitere Erkenntnisse sind eh nicht möglich.

[OT]
BTW, ich hatte mal wieder so einen Rückfall... oder Anfall... was auch immer... mich hats jedenfalls wieder überkommen... der Zwang mal wieder überflüssig-sinnlos-kreativ-produktiv zu sein... und ich habe genau diesen Punkt in mein Thema "Firewall" eingebaut.... was ich irgendwann in naher Zukunft veröffentlichen werde. Ich würde mich dann auf jeden Fall sehr darüber freuen, wenn Du mich da vielleicht sachlich widerlegen würdest.

[Blackbox]

Es gibt Berichte, dass Canonical im aktuellen LTS Release 18.04 wieder ein Schnüffelprogramm via Out out installiert.
Weiterhin hat Canonical eine neue Netzwerkkonfiguration [1] eingeführt.
Auch sollte Snap, Snapd und Snappy nicht unerwähnt bleiben, während sich alle anderen Distribution mehr, oder weniger auf Flatpak geeinigt haben, muss Canonical wieder einmal einen Sonder(irr)weg einschlagen.

[1] https://netplan.io

[arch0s]

Phuu, da ist ganz schön was zusammengekommen...

Einer Debian-Installation...?... ganz einfach, mich darüber freuen, dass ich von diesem Rechner jetzt für mindestens 2 Jahre nix mehr höre.... ich meine hinsichtlich Probleme oder Schwierigkeiten.... die laufen einfach alle seit Jahren völlig ohne rumpeln und ruckeln durch.

Das hört sich sehr gut an, wobei ich das von Xubuntu auch so kannte.

Bei Ubuntu besteht meiner Meinung nach ein höheres kommerzielles Interesse als bei Debian. So gab oder gibt es in Ubuntu irgendwelche Funktionen wie eine Amazon-Suche, die rein kommerziellen Gründen diente oder dient. Natürlich lässt sich diese deaktivieren. Es ist aber ein wenig wie bei Windows 10, wo für den Anwender vorteilhafte Datenschutzeinstellungen nicht defaultmäßig vorgegeben sind, sondern vom Anwender aktiv eingestellt werden müssen. Davon halte ich nichts.

Wenn du nicht freie Software nutzen musst, so ist das so. Du kannst mal Debianvrms installieren und schauen was der Befehl "vrms" tatsächlich ausgibt.

Sicherheitslücken entstehen zudem mit jeder zusätzlichen Software. Es ist einfach so, dass Gnome sehr wahrscheinlich mehr Sicherheitslücken hat als Xfce und Xfce mehr als Openbox. Das ist einfach so, da der Softwareumfang geringer ist. Erhöhe die Sicherheit des Systems durch Weglassen unnötiger Softwarekomponenten.

Für die tatsächliche Sicherheit ist das aber alles nicht relevant. Debian oder auch Linux ist so wenig verbreitet, dass (fast) kein Angreifer bei Clients Sicherheitslücken ausnutzt. Mir ist zumindestens keine bekannt. Eine Sicherheitslücke in z. B. Adobe Flash wird bestimmt nicht ausgenutzt, da entsprechender Schadcode auf .exe endet

Auf Servern ist das anders. Alleine Wordpress zu verwenden ist eine üble Sicherheitslücke. Wahrscheinlich hättest du deine kleine Webseite besser direkt in HTML oder mit einen Flat-File-CMS [1] bauen können. Auch hättest du vielleicht etwas mehr über Webdesign gelernt. Gerne kannst du mir eine PN mit deiner privaten Webseite schicken. Vielleicht kann ich dir ein alternatives CMS empfehlen.

[1] https://cmsstash.de/empfehlungen/flat-file-cms
(dieses CMS ist mit https://typemill.net erstellt, CMS enthält jedoch keinen Online-Editor)

Ja, das mit Ubuntu und Amazon usw. kommt mir auch bisschen komisch rein. Dass ist auch der Grund wieso ich mich andersweitig umgeschaut habe. Debian scheint in dieser hinsicht vieles besser zu machen. Wobei seit Ubuntu Unity aufgegeben hat und wieder auf Gnome setzt, bin ich zwischendurch schon am liebäugeln. Es sieht halt einfach von Anfang an sehr schick aus und alles läuft, dass wird der Grund für diesen Erfolg sein. Aber wie gesagt, wo das mit Amazon und Nutzungsdaten noch hinführt möchte ich gar nicht wissen...

Es gibt Berichte, dass Canonical im aktuellen LTS Release 18.04 wieder ein Schnüffelprogramm via Out out installiert.
Weiterhin hat Canonical eine neue Netzwerkkonfiguration [1] eingeführt.
Auch sollte Snap, Snapd und Snappy nicht unerwähnt bleiben, während sich alle anderen Distribution mehr, oder weniger auf Flatpak geeinigt haben, muss Canonical wieder einmal einen Sonder(irr)weg einschlagen.

Das wäre ja der Oberhammer wenn sowas rauskommen würde, allerdings würde es mich auch nicht wundern wenn die User dann trotzdem dem Ubuntu treu bleiben würden. Das beste Beispiel ist Windows, es ist längst bewiesen das Daten verschickt werden, aber niemand juckt es.

Besten Dank für alle eure Antworten, hat mir sehr geholfen...

[Blackbox]

Das wäre ja der Oberhammer wenn sowas rauskommen würde, allerdings würde es mich auch nicht wundern wenn die User dann trotzdem dem Ubuntu treu bleiben würden.

Was heißt, "wenn sowas rauskommen würde " das kannst du alles nachlesen [1], [2].

[1] https://linuxnews.de/2018/04/ubuntu-und ... tenschutz/

[2] https://www.omgubuntu.co.uk/2018/02/ubu ... on-opt-out

[Lord_Carlos]

[2] https://www.omgubuntu.co.uk/2018/02/ubu ... on-opt-out

Was ist daran schlimm oder unerwuenscht?

[Blackbox]

Was ist daran schlimm oder unerwuenscht?

Was könnte an einem vorgegebenem Opt Out wohl schlimm sein?
Obgleich »schlimm« das falsche Wort in diesem Zusammenhang ist.

[MSfree]

Was ist daran schlimm oder unerwuenscht?

Crashreports können problematisch sein.

Ich weiß zwar nicht, in welchem Format diese Übermittelt werden, typischerweise bietet Linux aber bereits sogenannte Coredumps, die bei Abstürzen generiert werden können und mit einem Debugger analysiert werden können.

Das hört sich erstmal unverfänglich an, jedoch beinhalten Cores ein komplettes Speicherabbild des abgestürzten Prozesses. Wenn dir z.B. der Webbrowser abstürzt, könnten sich in dem Speicherabbild auch Benutzernamen und Paßwörter für besuchte Webseiten befinden, und zwar im Klartext bevor sie verschlüsselt zum Zielserver übertragen werden. So ein Speicherabbild läßt sich auch nicht vor dem Abschicken anonymisieren bzw. unkenntlich machen, denn einerseits wüßte so ein Anonymisierungsprozeß nicht, wo solche Daten im Sepicher des Prozesses stehen, um sie unkenntlich zu machen, und andererseits könnte man mit einem manipulierten Coredump die Fehler unter Umständen nicht mehr reproduzieren.

[Nice]

Ich melde mich wieder zu Wort, weil ich denke, dass in vielen Threads die Begriffe durcheinandergeworfen werden, was eine vernünftige Diskussion genau so wie das Auswerten von Experimenten bei Confundierung von Variablen erschwert, wenn nicht gar absurd macht.

Das Thread-Thema lautete: "Sicherheit Debian vs. Ubuntu".

Confundiert wurden hier imho folgende Aspekte:

(1) Security = Schutz vor kriminellen Eingriffen.
(2) Safety = Schutz vor der Instabilität eines Systems.
(3) Privacy = Schutz vor kommerziellem Gebrauch von Nutzerdaten.

Zunächst wäre zu klären, welchen Aspekt der Thread-Starter im Auge hatte.
Erst dann sind Antworten sinnvoll.

[Lord_Carlos]

Was ist daran schlimm oder unerwuenscht?

Crashreports können problematisch sein.

Oh, das habe ich glatt ueberlesen. Ich ging nur von den Computer Statistikken aus.
Die haben hier selber nochmal Gruende genannt warum es nicht aktiv ist: https://wiki.ubuntu.com/Apport#Why_is_a ... default.3F

Jetzt bin ich mir unsicher ob die es jetzt in der naechsten stabilen Version aktiverten wollen oder nicht.

Was ist daran schlimm oder unerwuenscht?

Was könnte an einem vorgegebenem Opt Out wohl schlimm sein?

Ja, das war meine Frage.

[Nice]

@Lord_Carlos:

Blackbox hat geschrieben:

Lord_Carlos hat geschrieben: ↑ zum Beitrag ↑
13.06.2018 11:33:57
Was ist daran schlimm oder unerwuenscht?

Was könnte an einem vorgegebenem Opt Out wohl schlimm sein?

Ja, das war meine Frage.

Ich denke es ist offensichtlich, dass die Antwort von Blackbox zu Recht ironisch gemeint war.
Mir hat an Debian immer wieder das "Opt-In" imponiert.
"Opt-Out" ist imho alles Andere als respektvoller Umgang mit Privat-Daten, beziehungsweise Unwissen ausnutzend (> "Privacy").

[Lord_Carlos]

Mir hat an Debian immer wieder das "Opt-In" imponiert.

Ja, mich auch. Ist auch nett.
Aber warum sollten der grossteil von Ubuntu Benutzter deswegen weggehen?