Ubuntu vs debian veiligheid

Zal niet veel uitmaken.
Wat veel belangrijker is:
1. Houd je alles up-to-date?
2. Heb je zo weinig mogelijk services draaien
3. Heb je de zaak ge-harden-t?

Beiden backporten security fixes, dus wat wil je nou echt zeggen? Heb je überhaupt gezocht naar de filosofie en werkwijze achter beide distro's?

Onbruikbare reacties krijg je hier

Het patchbeleid is vergelijkbaar, verschil zit hem in de kernel leeftijd en os verschilt een beetje. Ik beschouw ubuntu als veiliger, maar debian als stabieler. Over beiden kunnen we hele discussies krijgen hier, dus dat wordt lachen als we de kernel en os openleggen hier om de laatste patcheste micromanagen .

Besef ook dat niet iedere security update als waardige.security patch wordt gezien en omgekeerd dat vernieuwing risico introduceren.

2green schreef op maandag 1 mei 2017 @ 23:43:
Over beiden kunnen we hele discussies krijgen hier, dus dat wordt lachen als we de kernel en os openleggen hier om de laatste patcheste micromanagen .

Hah, voor wat betreft kernel security is de discussie simpel: de track record van Ubuntu is simpelweg beroerd. Unprivileged user namespaces zijn een security nightmare, en dat hebben ze standaard enabled (itt. Debian) - het feit dat zelfs Arch Linux het weigert te enablen zegt een hoop.

smily01 schreef op dinsdag 2 mei 2017 @ 07:28:
(https://en.wikipedia.org/...-focused_operating_system) die aangeeft dat Debian meer gericht is op veiligheid dan op Ubuntu. Ik weet trouwens alles van het verhaal achter Debian en Ubuntu.

Dat Debian meer gericht is op veiligheid lees ik daar nergens - en is ook niet waar.

Debian (stable) is (nog) meer gericht op stabiliteit, dus nog conservatiever met updates, wat als bijgevolg heeft dat je net tegen wat minder securitybugs oploopt.

Maar dat valt allemaal weg als je de gebruiker meerekent. Je zaken up-to-date houden en juist configureren is veel belangrijker (was al genoemd) dan de distro die je draait.

2green schreef op maandag 1 mei 2017 @ 23:43:
Onbruikbare reacties krijg je hier

Nou, mooie binnenkomer zo. Erg constructief ook. Pot en ketel enzo.

Het patchbeleid is vergelijkbaar, verschil zit hem in de kernel leeftijd en os verschilt een beetje. Ik beschouw ubuntu als veiliger, maar debian als stabieler. Over beiden kunnen we hele discussies krijgen hier, dus dat wordt lachen als we de kernel en os openleggen hier om de laatste patcheste micromanagen .

Omdat de verschillende LTS distro's allemaal een andere kernel gebruiken heeft dat niet zo veel zin.

Besef ook dat niet iedere security update als waardige.security patch wordt gezien en omgekeerd dat vernieuwing risico introduceren.

Met dat laatste zijn alle LTS distro's, dus Ubuntu LTS, Debian Stable, CentOS/Red Hat, etc allemaal erg conservatief in. Er wordt niet zomaar een nieuwe upstream versie gebruikt om een security bug te fixen, maar backporten de wijzigingen om het probleem te verhelpen naar de versie die ze in hun repo hebben opgenomen. Dit vermindert vernieuwingen tot een minimum.

Ik beheer servers met beide. Debian stable en Ubuntu LTS. Het is gewoon een beetje om het even. Meestal is Debian iets eerder, maar krijg ook vaak regression updates daardoor.
Grootste verschil zijn de kernel updates. Debian spaart de bugfixes op en geeft een nieuwe kernel uit bij een kritiek lek. Bij Ubuntu heb je soms 3x per week een kernel update.

_JGC_ schreef op dinsdag 2 mei 2017 @ 08:51:
Bij Ubuntu heb je soms 3x per week een kernel update.

Maarja .. ga je dan ook 3x per week rebooten of hotpatchen ?

Thralas schreef op dinsdag 2 mei 2017 @ 07:47:
Hah, voor wat betreft kernel security is de discussie simpel: de track record van Ubuntu is simpelweg beroerd. Unprivileged user namespaces zijn een security nightmare, en dat hebben ze standaard enabled (itt. Debian) - het feit dat zelfs Arch Linux het weigert te enablen zegt een hoop.

Als we op dit niveau moeten instappen krijg ik het gevoel dat we hier starten bij de basics en de volledige kernel en OS architectuur mogen doornemen beginnend bij waarom tanenbaum torwalds adviseerde een andere architectuur te nemen tot aan de laatste hype van controlled mem processes, containers en wat niet.

Zullen we het in hoofdlijnen houden zodat ts het nog een beetje kan volgen? Los van van het feit trouwens dat het een belangrijk onderwerp is.

2green schreef op dinsdag 2 mei 2017 @ 09:01:
[...]

Als we op dit niveau moeten instappen krijg ik het gevoel dat we hier starten bij de basics en de volledige kernel en OS architectuur mogen doornemen beginnend bij waarom tanenbaum torwalds adviseerde een andere architectuur te nemen tot aan de laatste hype van controlled mem processes, containers en wat niet.

Zullen we het in hoofdlijnen houden zodat ts het nog een beetje kan volgen? Los van van het feit trouwens dat het een belangrijk onderwerp is.

Het staat je vrij om er een apart topic voor te maken zodat we er een alias in Beveiliging kunnen maken om dit te bespreken.

Hero of Time schreef op dinsdag 2 mei 2017 @ 08:30:
[...]

Nou, mooie binnenkomer zo. Erg constructief ook. Pot en ketel enzo.

pot en ketel verwijst in dit geval naar het feit dat ook in geen antwoord zou hebben gegeven op de TS vraag. Dat is onjuist.
Dat ik gerespecteerde medetweakers erop aanspreek dat ze niet constructief zijn staat daar los van en toegegeven had ik dat teruglezend wel wat netter mogen verwoorden.

[...]

Omdat de verschillende LTS distro's allemaal een andere kernel gebruiken heeft dat niet zo veel zin.

Ik vermoed dat je mijn opmerkingen anders interpreteerd dan mijn intentie was, jgc stipt dit onderwerp ook aan. Mocht iets anders uit mijn tekst nog onduidelijk verwoord zijn, hoor ik het wel.

[...]

Met dat laatste zijn alle LTS distro's, dus Ubuntu LTS, Debian Stable, CentOS/Red Hat, etc allemaal erg conservatief in. Er wordt niet zomaar een nieuwe upstream versie gebruikt om een security bug te fixen, maar backporten de wijzigingen om het probleem te verhelpen naar de versie die ze in hun repo hebben opgenomen. Dit vermindert vernieuwingen tot een minimum.

correct, maar introduceerd ook problemen waaronder achterstallige patches die gebruikt kunnen worden maar vaak nog niet erg bekend zijn. Maar vaak al wel in niet openbare kanalen besproken worden. Soms helaas ook openbaar .

smily01 schreef op dinsdag 2 mei 2017 @ 07:28:
Bedankt voor jullie reacties!

Hoe ik op deze vraag kom, is dat er bij de Engelstalige website van Wikipedia (https://en.wikipedia.org/...-focused_operating_system) die aangeeft dat Debian meer gericht is op veiligheid dan op Ubuntu. Ik weet trouwens alles van het verhaal achter Debian en Ubuntu.

Alhoewel wikipedia een redelijk betrouwbare informatie bron is, betreft het altijd iets dat geschreven is door een groot aantal mensen met ieder hun eigen belangen en ervaringen.

Alhoewel ik zelf vanuit security overwegingen voor ubuntu server kies en dan met name de halfjaarlijkse releases (en niet de lts) zou ik iemand die iets zoekt dan onderhoudsarm is debian aanwijzen.

gekkie schreef op dinsdag 2 mei 2017 @ 08:59:
[...]

Maarja .. ga je dan ook 3x per week rebooten of hotpatchen ?

Hotpatchen doe je natuurlijk alleen als je een hete wijziging hebt die tijdens productie uren wilt uitrollen, zijn mijn weinig bedrijven die dat doen in de wereld. Laat staan dat ts dat nodig heeft.

Rebooten op een server met ssd's kost maar een paar tellen downtime, dus vrijwel nooit een probleem. zijn maar weinig services die alles in hun geheugen moeten laden en dusdanig veel daarvan hebben dat het tijd kost. Is een reboot volgens de SLA niet mogelijk dan zou men wel eens naar hun inrichting mogen kijken waarom zo'n service bij downtime niet automatisch overgepakt wordt, etc.

Dit laatste is trouwens niet mijn expertise, ben vooral een backend man (voormalig kernel ontwikkelaar) en daarna afgegleden naar projectleider waarbij ik gelukkig teamleden had die mij over dergelijke situaties adviseerden... vak appart maar gelukkig voor TS niet relevant.

Hero of Time schreef op dinsdag 2 mei 2017 @ 09:06:
[...]

Het staat je vrij om er een apart topic voor te maken zodat we er een alias in Beveiliging kunnen maken om dit te bespreken.

Wil best input leveren voor een dergelijk topic...

Maar is hier echt behoefte aan? hier op tweakers loopt behoorlijk veel kennis rond, ver bovengemiddeld technische community. Vrijwel iedereen die behoefte heeft aan dergelijk kennis weet de juiste communicatie kanalen wel te vinden of de juiste boeken als ze net beginnen met het onderwerp.

Wat misschien beter zou zijn is een ubuntu/debian server topic. Een dergelijk topic zou net wat beter passen op tweakers met interessant (home)server toepassingen en laaghangend fruit aan security. Zoiets was er nog niet dacht ik.

[ Voor 50% gewijzigd door 2green op 02-05-2017 09:33 ]

2green schreef op dinsdag 2 mei 2017 @ 09:09:
Rebooten op een server met ssd's kost maar een paar tellen downtime, dus vrijwel nooit een probleem. zijn maar weinig services die alles in hun geheugen moeten laden en dusdanig veel daarvan hebben dat het tijd kost. Is een reboot volgens de SLA niet mogelijk dan zou men wel eens naar hun inrichting mogen kijken waarom zo'n service bij downtime niet automatisch overgepakt wordt, etc.

Mwah ...
Er zijn servers die alleen al voor het POST'en een paar minuten nodig hebben ..
Je krijgt potentieel een DB met een cold cache ..
En uiteraard de gratis bonus dat die bak of een van de services uberhaupt niet meer start.

Uiteraard allemaal geheel of gedeeltelijk te ondervangen door migratie failovers en wat dies meer zij. Neemt niet weg dat niet iedereen daar de financien voor heeft en dan ga je dus niet 3x per week rebooten, maar beperk je dat toch al tot een wat lagere frequentie.

Voor wat betreft de info verstrekking specifiek rond de linux kernel is men ook niet echt scheutig, over het algemeen houdt Greg het bij een "All users must upgrade" bij een stable release. Op zich valt voor die security by obscurity ook wel wat te zeggen, gezien het voorgaande waarbij niet iedereen op dezelfde korte termijn kan upgraden.

2green schreef op dinsdag 2 mei 2017 @ 09:01:
[...]

Als we op dit niveau moeten instappen krijg ik het gevoel dat we hier starten bij de basics en de volledige kernel en OS architectuur mogen doornemen beginnend bij waarom tanenbaum torwalds adviseerde een andere architectuur te nemen tot aan de laatste hype van controlled mem processes, containers en wat niet.

Zullen we het in hoofdlijnen houden zodat ts het nog een beetje kan volgen? Los van van het feit trouwens dat het een belangrijk onderwerp is.

Nou, graag. Je gooit hier namelijk met fundamentele termen en als daar belangrijke verschillen liggen zijn we er juist zo uit.
Als ik er als leek al beeld bij kan vormen...

Ik denk dat je je medemens te laag inschat of jezelf te specialistisch.
Hoe software in het geheugen geladen wordt en wat er wel of niet op welke laag bevind en of er wel/geen veiligheidsmechanismen zijn geïmplementeerd of logische architecturale keuzes is goed over te spreken.

Om de analogie van je auto te hergebruiken, je hoeft geen specialist te zijn om te begrijpen wat stuurbekrachtiging toevoegt, of je motor achter of voorin ligt, hij zichzelf afsluit en of je claxon werkt.

[ Voor 27% gewijzigd door Verwijderd op 02-05-2017 10:07 ]

2green schreef op dinsdag 2 mei 2017 @ 09:48:
[...]
Nav zo'n uitspraak kun je wel meer info vinden natuurlijk. verschillende release notes, mailinglists en patch opmerkingen, etc. Maar gelukkig wordt niet alles breed uitgemeten.

Of dat echt gelukkig is weet ik niet, beetje ambivalent. Bij Xen bijvb doen ze het anders en wordt alles via procedures en een security advisory en embargo (zodat de grote jongens als amazon en rackspace tijd hebben om eventueel de meuk te upgraden voor publicatie) gepubliceerd. Door de uitgebreide omschrijving geeft het wel duidelijkheid of jouw configuratie ook getroffen is en of patchen dus haast kan hebben.
Overigens is daar ook een dicussie geweest over de patch frequentie en is de uitkomst dat er toch ook (net als bijvb microsoft) wordt toegewerkt naar een wat laag frequentere publicatie (als de discoverer mee werkt).

Nou is met de kernel het probleem dat het onnoemelijk veel complexer is en distro kernels de meeste opties en modules wel mee compileren om zo breed mogelijke ondersteuning te bieden, kortom daar niet haalbaar en ik denk dus dat hoe ze het aanpakken in beide gevallen wel het beste is voor hun specifieke geval.

Dit betreft trouwens enkel de kernel, maar op os niveau heb je natuurlijk ook nog te maken met kernel configuratie en alle componenten die weer hun eigen informatie kanalen hebben . Noem dit voor de overige lezers, als je greg bij naam noemt ben je overduidelijk iemand die dit volgt.

Ik draai op de thuisserver vrolijk RC kernels, living on the edge, got to love it .
Maar productie is over het algemeen distro kernels op wat specials na waarvoor de distro kernel te oud is of zaken nog niet upstream zijn.

Kies het systeem wat geschikt is voor wat je wilt doen, en richt het in zoals het past. En daar zijn een hoop aspecten die je dient te overwegen:
* Uptime
* Hoeveelheid crashes
* Afhandeling van hardware in/uitvoer
* Bestendigheid tegen externe bronnen
* Garantie van leverancier: (als in: Als systeem lek gaat, heb ik garantie? Kan ik mijn proces dus bij een verzekeraar verzekeren?)
* Licentie-compatibiliteit met hetgeen ik wil
* Ondersteuning hardware
* Wat als ik onder een bus kom: is er iemand die snel verder kan gaan?
* Etc...

Voor een simpele webserver/httpd host zal je een hoop kunnen zeggen maar kun je ook stellen: "wat maakt het nou écht uit". Er valt echter ook genoeg te zeggen voor bijvoorbeeld RHEL als je een bedrijfsproces er op wilt hosten (en daar betaal je dan ook voor), of zelfs Windows. Wil je überhaupt nog wel over OS-en nadenken of is service/SLA belangrijker (en dus een clouddienst oid...).

Veiligheid kan komen door altijd "latest" te draaien voor "veilig tegen hacks", maar ook "veilig voor storingen" (en dus misschien oudere tech), of "veilig voor gebruik met die kritische beademingsaparatuur" of "veilig voor gebruik met onze sensoren want verkeerde UART-pieken zorgen niet voor kernel panic".

In andere woorden: ik denk dat je je definitie over veilig wat moet neerzetten, en ook moet nadenken: waarvoor gebruik ik het. En anders gil ik gewoon keihard: BSD! (zonder netwerkverbinding)

Verwijderd schreef op dinsdag 2 mei 2017 @ 10:04:
Ik denk dat je je medemens te laag inschat of jezelf te specialistisch.
Hoe software in het geheugen geladen wordt en wat er wel of niet op welke laag bevind en of er wel/geen veiligheidsmechanismen zijn geïmplementeerd of logische architecturale keuzes is goed over te spreken.

Om de analogie van je auto te hergebruiken, je hoeft geen specialist te zijn om te begrijpen wat stuurbekrachtiging toevoegt, of je motor achter of voorin ligt, hij zichzelf afsluit en of je claxon werkt.

Je aanname gaat onterecht over hoe ik mijn medemensen inschat, dan kan ik niet waarderen. Voelt aan alsof je aan het projecteren bent. Zoals bijna letterlijk gezegd in deze thread vind ik juist dat er erg veel kennis aanwezig is op tweakers.

Nogmaals de redenen dat ik in deze thread hier niet op in ga: Ik zie niet in hoe een dergelijke verdiepingslag de vraagsteller helpt bij het beantwoorden van zijn vraag, rekening houdend met wat hij tot nu toe gelezen heeft over debian en ubuntu.

Als je persoonlijke vragen hebt, kun je hiervoor een nieuwe thread starten of iemand vragen die minder respect heeft voor zijn medemens.

Het verschil in patch/update cycle is algemeen bekend.
Waar het bij Debian te doen is om in een stabiel, veilig en niet al te veranderlijk besturingssysteem te voorzien draait het bij Ubuntu meer om 'appeal voor de masses' zou je kunnen zeggen.

De snelheid met welke nieuwe wegen ingeslagen wordt ligt hoger waarmee de kans op vergissingen toeneemt.

Ik denk dat juist velen van ons zouden kunnen waarderen als je dergelijke grote verschillen waar je naar hint concreet kon overleggen en dat hoeft echt niet op doctoraal niveau.

Het was trouwens echt niet de bedoeling om een dergelijk emotionele reactie uit te lokken.
Ik hoopte je te prikkelen om je technisch inzicht te delen m.b.t. deze veelgestelde vraag.

Om terug te komen op je auto analogie; dit is vast haalbaar:
https://www.bol.com/nl/m/service/de-winkelwagen/index.html

Laten we het luchtig houden man.

[ Voor 10% gewijzigd door Verwijderd op 02-05-2017 11:52 ]

Verwijderd schreef op dinsdag 2 mei 2017 @ 11:41:
Het verschil in patch/update cycle is algemeen bekend.
Waar het bij Debian te doen is om in een stabiel, veilig en niet al te veranderlijk besturingssysteem te voorzien draait het bij Ubuntu meer om 'appeal voor de masses' zou je kunnen zeggen.

Dat klopt wel ongeveer, maar zou hem iets nuanceren, vanuit debian geredeneerd zou ik samenvatten als:

1) Debian is erg terughoudend met updates = meer regressies en meer standaard bouwstenen.
2) Ubuntu lts redelijk terughoudend met voorgenoemde
3) Ubuntu april / oktober releases zijn enigzins terughoudend met voorgenoemde.

• alle drie varianten krijgen vrijwel dezelfde security patches, maar hebben toenemend meer patches die niet als stempel "security" hebben gekregen, maar hier toch invloed op hebben. De delta tussen head en master neemt steeds verder toe en steeds meer "niet security maar stiekem wel" patches komen niet in de branch waar je op draait.
• afnemende op bovenstaand lijst heb je de voorspelbaarheid qua bouwstenen, je bent toenemend meer kosten kwijt aan software onderhoud / beschikbaarheid na een bepaalde tijdsdrempel raakt men actueel inzicht kwijt in hoe software op elkaar ingrijpt (waardoor gaten ontstaan)
• toenemend op bovenstaand lijstje heb je security benefits door betere aansluting van nieuwere bouwstenen bij nieuw software architectuur, welke voorschrijdend aangepast wordt naar security inzichten/dreigingen
• toenemend op dit lijstje zie je dat software pas laat of officieel helemaal niet beschikbaar komt omdat ontwikkelaars vaak geen zin hebben op zoveel platformen te testen/onderhouden. ander partijen supporten dit wel, maar bouwen onder water doodleuk voort op verouderde packages, bijvoorbeeld zoals Steam dat doet... third party indie games op verouderde packages, wie wil dat nu niet?
• etc

De snelheid met welke nieuwe wegen ingeslagen wordt ligt hoger waarmee de kans op vergissingen toeneemt.

klopt, echter is er een drempel waarop de kosten de baten overstijgen. Op een bepaald punt ben je te veel aan het patchen op basis van verouderde code.
Door de toename in ontwikkelingen neemt de optimale periode voor onderhoud steeds verder af.

Ik denk dat juist velen van ons zouden kunnen waarderen als je dergelijke grote verschillen waar je naar hint concreet kon overleggen en dat hoeft echt niet op doctoraal niveau.

Het was trouwens echt niet de bedoeling om een dergelijk emotionele reactie uit te lokken.
Ik hoopte je te prikkelen om je technisch inzicht te delen m.b.t. deze veelgestelde vraag.

Om terug te komen op je auto analogie; dit is vast haalbaar:
https://www.bol.com/nl/m/service/de-winkelwagen/index.html

Laten we het luchtig houden man.

Houd er niet van als mensen mij afschilderen als iemand die denkt dat hij meer is dan anderen, bewust of onbewust zijn dat dingen waarop ik reageer.

Dit gezegd hebbende, heb ik een poging gedaan omdat ik je reactie wel waardeer... op een manier dat Smily01 er ook iets aan heeft .

Voor een desktop is op het gebied van veiligheid heel weinig verschil tussen Debian en Ubuntu. Debian is conservatiever in zijn updates maar Ubuntu heeft zijn LTS edities die ook goed en lang ondersteund worden. Ik kijk voor desktops meestal met een livecd of alle hardware ondersteund wordt, dat is belangrijker dan de keuze Ubuntu of Debian.

Voor desktops vind ik debian vs ubuntu vs iets anders niet heel spannend. Als je je browser up to date houdt ben je al een heel eind.
Als jij de enige gebruiker op je desktop bent en je hebt een stuk software met een local root exploit is dat niet spannend, je kunt ook gewoon sudo -i typen en dan ben je ook root. Heb je zoiets op een shared hosting webserver in combinatie met een klant die een lekke wordpress plugin gebruikt...

Waar wil je de installatie tegen beschermen?

Dat lijkt me een essentieel onderwerp. Zonder die context is er weinig te zeggen over Ubuntu vs Debian.

Ik kies altijd voor Ubuntu LTS, maar hoe veilig het is, hangt erg af van de stappen die je daarna neemt om specifieke dingen moeilijker te maken. Zoals SSH goed configureren, een firewall te gebruiken, altijd de security patches te installeren, etc.