Veiligheid: Debian stable vs. Gentoo bleeding edge

Pagina: 1
Acties:

  • kmf
  • Registratie: November 2000
  • Niet online
Ik ben de laatste tijd met debian bezig geweest, na lange tijd met gentoo gewerkt te hebben (en heb nu nog gentoo op m'n thuisserver)

De theorie van debian zit toch een beetje aan me te knagen.

Debian kent dus een aantal fases voor z'n pakkettendistributies. Eerst heb je unstable, dan komt testing, en daarna pas stable. Alleen na intensieve testing kan een pakket in de stable fase komen. Dit zorgt ervoor dat de pakketten van debian stable flink achter lopen op de ontwikkelingen.

Gentoo daarentegen hanteerd een werkwijze waarbij de nieuwste versies door een zeer snelle test wordt doorgesluisd en als het een beetje werkt, mag het gedistribueerd worden. Je loopt dan nauwelijks achter op de laatste ontwikkelingen.

Als we nou niet naar stabiliteit kijken, maar naar veiligheid. Welke werkwijze is dan beter?

Bij debian heb je een oeroud pakket dat wordt gezien als "solid as a rock", maar alle mogelijke zwakke plekken zijn alom bekend.

Deze zwakke plekken kunnen mogelijk in een nieuwe versie allang opgelost zijn, maar ja... dat moet eerst getest worden.

Gentoo daarentegen, altijd schier de nieuwste pakketten. De meeste bekende fouten zullen weggehaald worden met elke nieuwe versie. (en de fouten van de nieuwe versie zullen niet zo bekend zijn)

Wat is jullie mening hierover?

One thing's certain: the iPad seriously increases toilet time.. tibber uitnodigingscode: bqufpqmp


  • Macros
  • Registratie: Februari 2000
  • Laatst online: 17-01 08:36

Macros

I'm watching...

Gentoo heeft ook 2 stadia. ~arch en arch. ~arch is dus unstable en arch is dat hopelijk niet. arch van Gentoo kan vergeleken worden met unstable van Debian en ~arch is dus extremely bleeding edge, wordt nog net niet direct van de CVS afgetrokken, maar hetscheelt vaak niet veel.

"Beauty is the ultimate defence against complexity." David Gelernter


  • _Squatt_
  • Registratie: Oktober 2000
  • Niet online
athlonkmf schreef op 11 mei 2004 @ 22:25:
Bij debian heb je een oeroud pakket dat wordt gezien als "solid as a rock", maar alle mogelijke zwakke plekken zijn alom bekend.

Deze zwakke plekken kunnen mogelijk in een nieuwe versie allang opgelost zijn, maar ja... dat moet eerst getest worden.
Zo ver ik weet worden security fixes die in een nieuwe versie van een programma zitten altijd gebackport naar de versie die in debian stable zit.

"He took a duck in the face at two hundred and fifty knots."


  • JaQ
  • Registratie: Juni 2001
  • Laatst online: 13:06

JaQ

je redenatie klopt niet helemaal. Bij debian stable heb je misschien wel oudere paketten, maar er worden nog steeds security fixes voor gereleased. Dus rock-solid EN super-veilig. Bij gentoo zit je met super nieuwe paketten, met meer kans op veiligheidsgaten (in mijn optiek, want nieuwer betekent minder goed getest).

IMHO is debian stable dus veiliger.

Egoist: A person of low taste, more interested in themselves than in me


  • cashewnut
  • Registratie: Januari 2002
  • Laatst online: 09-11-2025
De zwakke plekken worden er bij Debian ook wel uitgehaald. Het verschil is, dat dit gebeurt met dezelfde packages, door het Debian project zelf (AFAIK). Er wordt dus niet tegelijk gepatched en nieuwe functionaliteit toegevoegd, zoals vaak wel met geheel nieuwe versies gebeurt.

Zelf wil ik Gentoo eigenlijk niet op mijn server, omdat het zelf compileren me daar niet erg praktisch lijkt, en de stabiliteit van de packages volgens mij soms nog wel te wensen overlaat. Voor de desktop is het IMO echter een ander verhaal, daar wil ik wel de nieuwste software hebben (mits die redelijk stabiel is natuurlijk).

Verwijderd

@ TS: Hmmm, je vergeet een belangrijk punt, Debian heeft dan wel stable met oudere versies van pakketten, maar heeft daarbij ook een security tree. Dit houdt in dat zelfs de oudere versies van stable gepatcht zijn tegen allerhande aan security leaks ed. Qua security heb ik eigenlijk gewoon liever Debian, wegens de stabiliteit en security die je erbij krijgt :)
Daarbij, veiligheid is niet alleen een kwestie van het OS of de software, maar ook de sysadmin ;)

Edit:
D'oh, dat ging snel :X

[ Voor 4% gewijzigd door Verwijderd op 11-05-2004 22:44 ]


  • savale
  • Registratie: Oktober 2000
  • Laatst online: 19-02 23:14
ik zit hier ook altijd tussen te twijfelen. Bleeding edge of liever wat stabielere software...Zelfs met een desktop pc.
Ik wil nu bijvoorbeeld een simpel desktop internet msn pctje in elkaar zetten (p200,80mb ram) maar aan de ene kant zie ik er dan het liefst gentoo op zitten omdat alles lekker nieuw is kwa msn/internet progs. Aan de andere kant valt het updaten dan niet mee. iedere dag komen er bijna wel updates uit voor je systeem. Debian stable daarentegen is allemaal lekker getest en kwa updates hoef ik er niet zo vaak naar om te kijken. Maar ja dan mis ik dus ook weer allemaal features zoals een splinternieuwe browser/ nieuwe msn etc.

Verwijderd

Debian stable is mijns inziens (veel....) veiliger dan gentoo bleeding edge, debian testing en debian unstable met 2 vingers in de neus, en 1 voet vastgebonden.

  • usr-local-dick
  • Registratie: September 2001
  • Niet online
Mijn redenatie is als volgt:

Er is een update van pakket X. Die gaat van 4.3.5 naar 4.3.6 bijvoorbeeld.
Als dit een security update was wodt ie in debian/stable gebackport naar de versie in debian, bijv 4.1.3. De bleeding edge wordt van 4.3.5 naar 4.3.6 geupdate.
In beide gevallen is de security bug gefixed.

Bij de bleeding edge zin niet alle update security updates, vaak zijn het ook functionaliteit verandereningen. Dat betekent dus ook extra werk aan je config, als die al niet helemaal breekt door een major change.

Debian/stable blijft altijd hetzelfde werken, je zou je in principe geen zorgen hoeven maken dat er opeens allerlei dingen niet meer werken.

Helaas wil je soms ook wel eens een van die nieuwe features hebben ;)

  • Confusion
  • Registratie: April 2001
  • Laatst online: 01-03-2024

Confusion

Fallen from grace

athlonkmf schreef op 11 mei 2004 @ 22:25:
Bij debian heb je een oeroud pakket dat wordt gezien als "solid as a rock", maar alle mogelijke zwakke plekken zijn alom bekend.

Deze zwakke plekken kunnen mogelijk in een nieuwe versie allang opgelost zijn, maar ja... dat moet eerst getest worden.
Ook op een Debian-stable bak gebruik je apt-get om packages te upgraden. Bovendien is er security.debian.org. Als Debian-stable zo onveilig was, dan zou toch niemand het gebruiken? Terwijl Debian-stable juist dè (Debian) distro voor produktieomgevingen is.

Wie trösten wir uns, die Mörder aller Mörder?


Verwijderd

SElinux

meschien nuttig om daar eens naar te kijken als veiligheid echt een issue is.
Heb er zelf nog nooit mee gewerkt, maar als het werkt zoals ze zeggen dat het werkt, is de kans dat je bak gehacked kan worden door een exploit iig al een stuk kleiner.

Voor de rest vind ik dit een rare discussie.
Waarom als veiligheid een punt is je beperken tot 2 distro's.
Het nut va vele distro's ligt juist in het feit dat er een distro voor elke taak is.

neem b.v.
trustix
Trustix Secure Linux is a Linux distribution targeted at companies, of all sizes, in need of a low footprint and high security server operating system. Trustix Secure Linux includes the open standards based SoftWare UPdater, SWUP, which keeps all software packages up-to-date, resolves library dependancies and integrates public key cryptography to ensure safety and security.

of

astaro
Astaro offers an integrated software solution that provides superior performance in an all-in-one Firewall. Its hardened operating system, stateful packet inspection, content filtering (virus & surf protection), application proxies and IPsec based VPN provides a powerful solution to today's security issues. It is designed to maximize your networks security without compromising its performance enabling telecommuters, branch offices, customers and suppliers to safely share critical business information. Our proprietary user interface, WebAdmin allows ease of use and manageability of all Open Source Firewall components, as well as the Up2Date service via the Internet. It is easy to install with all components on one CD achieving simple implementation and integration to existing network environments.

en dit is van 10 minuten even kijken op distrowatch.com

als je vraagstuk echt puur en specefiek ligt op welke nu veiliger is, gentoo of debian dan zeg ik debian zonder er ook maar over te hoeven na te denken.
simpel door distro doel.

debian is opzich een all around distro. Maar debian heeft wel een groot gedeelte van de linux server markt in handen. Dit brengt met zich mee een hoop verantwoording.
Dus zal debian ook zeker veel doen aan security.

Hier was overlaatst trouwens nog een dicussie over hier of op /.
Omdat er een bedrijf/overkoepel/organisatie een analyse had gemaakt tussen een aantal distro's en windows, en dat debian hier verassend slecht uit kwam. (ging over het aantal vulnerabilities, de realese time van patches daarvoor etc..)
De debian groep reageerde toen kwaad, omdat de gegevens gewoon fout geinterpeteerd waren.
Naast dat de mensen van debian zelf gaan bug hunten voor de exploits, worden deze fixes ook nog eens getest. En kijken ze verder dan hun neus lang is, en gaan zich ook afvragen of zulk soort fouten nog verder in de software voor komen. Hierdoor waaren ze over het algemeen trager dan de rest. Maar wel volediger. (en dat teste die organisatie dan weer niet, dus kreeg je een verdraait beeld)

heb even gezocht maar kon niks vinden. maar kan nooit meer dan een maand of 3 geleden geweest zijn.

  • Skinkie
  • Registratie: Juni 2001
  • Laatst online: 09-06-2020

Skinkie

Op naar de 500

Ik draai nu Gentoo op een aantal productie servers, wat ik merk zijn dat je vreselijk goed moet opletten met je configuratie bestanden (lang leven chattr +i) daar in tegen ben ik altijd enorm blij met een nieuwe versie van OpenSSH.
Nu ben ik ook nog zo'n idioot die ~arch packages draait. Laten we wel stellen, eerst op m'n eigen pc en daarna pas op een server.
In de tussen tijd heb ik ook een server gemaakt zonder enige vorm van firewalling en puur 'veilig' geconfigureerd. In hoeverre kijk je bijvoorbeeld standaard naar bind adressen?
Draait alles wat je niet van buiten af nodig hebt als localhost? Is je SSH (en eventueel telnet als je routers heb hangen) alleen verbonden aan een non-routable ip adres? Draai je alle pakketjes als een andere user cq in chroot?

Ik merk dat Gentoo daar veel mogelijkheden in heeft (patches specifiek voor dit gedrag, met een duidelijke tekst als je het pakketjes geinstalleerd hebt). Enig nadenken mag best tijdens het compileren. Immers als een pakketje door alle configure tests heen komt ben je er (vrijwel) gelijk zeker van dat je features die je graag wil hebben ook werken.

Sommige mensen hebben nogal aversie tegen 'unstable' pakketten, als niemand het test dan blijven pakketjes altijd unstable daarbij moet je gewoon de bugs pagina van de 'des-betreffende-distro' vullen met informatie als er problemen zijn. een emerge unmerge of een apt-get terug naar een vorige versie duurt toch twee minuten max. Dan heb je gelijk geleerd van de fouten, en wacht je totdat je ze zelf hebt opgelost of iemand voor je heeft gedaan :)

Steun Elkaar, Kopieer Nederlands Waar!


  • odysseus
  • Registratie: Augustus 2000
  • Laatst online: 19-02 21:54

odysseus

Debian GNU/Linux Sid

Verwijderd schreef op 12 mei 2004 @ 01:22:
Hier was overlaatst trouwens nog een dicussie over hier of op /.
Omdat er een bedrijf/overkoepel/organisatie een analyse had gemaakt tussen een aantal distro's en windows, en dat debian hier verassend slecht uit kwam. (ging over het aantal vulnerabilities, de realese time van patches daarvoor etc..)
De debian groep reageerde toen kwaad, omdat de gegevens gewoon fout geinterpeteerd waren.
Naast dat de mensen van debian zelf gaan bug hunten voor de exploits, worden deze fixes ook nog eens getest. En kijken ze verder dan hun neus lang is, en gaan zich ook afvragen of zulk soort fouten nog verder in de software voor komen. Hierdoor waaren ze over het algemeen trager dan de rest. Maar wel volediger. (en dat teste die organisatie dan weer niet, dus kreeg je een verdraait beeld)

heb even gezocht maar kon niks vinden. maar kan nooit meer dan een maand of 3 geleden geweest zijn.
Dat is te lezen op nieuws: Linux-distributeurs reageren op Forrester-onderzoek :).
Het zit dus niet helemaal zoals je zegt. Debian kwam er _juist_ goed uit, maar was het (samen met andere distro's, die minder goed scoorden) niet eens met de manier waarop de resultaten zijn berekend.

Overigens zou ik op veiligheidsgebied ook veel sneller voor Debian stable kiezen dan voor een bleeding edge Gentoo :).

Leven is het meervoud van lef | In order to make an apple pie from scratch, you must first create the universe.


  • machiel
  • Registratie: Januari 2000
  • Laatst online: 11-02 18:49
Volgens mij zijn er twee kanten aan het verhaal, stabiliteit en veiligheid. Zo te horen is Debian even veilig (of veiliger) als Gentoo. Gentoo heeft ook uitgebreide ondersteuning voor SELinux. Bij het compileren kunnen ook extra controles worden gedaan op de correctheid van de package (of het systeembestanden wil overschrijven e.d.).

Als je veiligheid belangrijk vindt dan kan je Gentoo ook superveilig maken en met SELinux nog wel veiliger dan een standaard debian-stable.

Daarnaast is er de stabiliteit (geen crashes, geen onvoorspelbaar gedrag etc.). Stabiliteit zou met Debian het beste moeten zijn, maar dat heeft weinig met veiligheid te maken (om even on-topic te blijven).

Verwijderd

Veiligheid van een distributie heeft niet alleen met packages te maken, maar ook jij het geheel configureerd. Je kan dus niet zonder meer zeggen dat debian veiliger is dan gentoo, dat hangt ook voor een groot deel van de beheerder af.

Wel krijg ik het idee dat gentoo security ook serieus neemt. Zo hebben ze bijvoorbeeld de hardend sources waar features inzitten (SE Linux, PAX, propolice enz) die niet in debian beschikbaar zijn zonder third party packages of zelf source compileren.

Oh en er is natuurlijk ook adamantix (http://www.trusteddebian.org/) Dit project wil een beetje vergelijkbare features aanbieden als in hardend gentoo.

Overigens heb ik beide niet zelf getest, maar overweeg ik hardend gentoo in de toekomst wel op mijn server te gaan draaien.

Trouwens een van de redenen waarom Debian ook achter loopt met packages en releases zo lang op zich laten wachten naast de hierboven genoemde redenen, is omdat ze voor 10 architecturen packages moeten testen. Dat kost gewoon veel tijd.

[ Voor 14% gewijzigd door Verwijderd op 12-05-2004 10:54 ]


  • Wilke
  • Registratie: December 2000
  • Laatst online: 12:28
Je mag wel hopen dat Debian Stable veiliger is dan Gentoo - da's een van de belangrijkste redenen (naast stabiliteit) waarom je Debian Stable zou draaien. De software is namelijk wel redelijk outdated, maar voor servers is een trage update cyclus vaak juist een voordeel (vooral als security-updates wel bijgehouden worden, zoals bij Debian het geval is).

Iets wat voor mij nieuw was: in de Gentoo Weekly Newsletter van deze week zag ik dat ze bezig zijn met een interessant tooltje, 'glsa-check' (GLSA = Gentoo Linux Security Anncouncement), dat dus de geinstalleerde packages checkt tegen de lijst met security announcements, en aangeeft wat op jouw systeem bijgewerkt zou moeten worden.

Het is de bedoeling dat dit later in portage/emerge geintegreerd wordt, zie hier voor een beschrijving van glsa-check, en hier voor de Gentoo Linux security guide - die overigens een heleboel algemene tips bevat die ook voor andere OSen dan Gentoo en zelfs Linux van toepassing zijn.

Dat vind ik wel een interessante ontwikkeling die ik jullie niet wilde onthouden (ik had er zelf nog niks van meegekregen namelijk tot nu toe ;) ).

  • balk
  • Registratie: Januari 2000
  • Laatst online: 08:47
Wilke schreef op 12 mei 2004 @ 18:05:
Het is de bedoeling dat dit later in portage/emerge geintegreerd wordt, zie hier voor een beschrijving van glsa-check, en hier voor de Gentoo Linux security guide - die overigens een heleboel algemene tips bevat die ook voor andere OSen dan Gentoo en zelfs Linux van toepassing zijn.

Dat vind ik wel een interessante ontwikkeling die ik jullie niet wilde onthouden (ik had er zelf nog niks van meegekregen namelijk tot nu toe ;) ).
Inderdaad een interessante ontwikkeling. Het is een beginnetje voor de veel geopperde feature 'security only updates'. Dus niet meteen een nieuwe glibc hoeven installeren op je server maar wel alle gaten gedicht houden. Ik weet niet of ie er al is maar er was ook een tijdje sprake van een soort server versie van gentoo met minder pakketten en minder updates.

Het is trouwens wel mooi om te zien hoe Gentoo is uitgegroeid van een distro voor rare compileer geile gekken tot compleet en generiek package system. Je kan zelfs portage (hart van Gentoo) installeren op OS-X en dan via portage programma's installeren daarop. Geniaal :)

  • Wilke
  • Registratie: December 2000
  • Laatst online: 12:28
Het is trouwens nog niet hetzelfde als security updates backporten, maar dat zal wel een volgende stap worden gok ik.

In ieder geval is het al heel positief dat je kunt zien 'hee, dit is software waarin een lek kan zitten, ga iig eens checken wat er mee moet gebeuren'.

  • PipoDeClown
  • Registratie: September 2000
  • Niet online

PipoDeClown

Izze Zimpell

mwa, linux is just a bunch of code
en alles is experimenteel. zelfs voor beproefde programmas komt er wel eens een "security" fix uit.
bijvoorbeel gcc 3.4 zit nog niet in gentoo "stable" maar wel in archlinux
als je echt een bleeding edge wilt hebben probeer je die versie van linuxs from scratch http://belfs.linux-phreak.net/
balk schreef op 12 mei 2004 @ 18:24:
[...]
Het is trouwens wel mooi om te zien hoe Gentoo is uitgegroeid van een distro voor rare compileer geile gekken tot compleet en generiek package system. Je kan zelfs portage (hart van Gentoo) installeren op OS-X en dan via portage programma's installeren daarop. Geniaal :)
wel grappig als je over al die gcc optimalisaties leest op dat forum. heel veel redundante opties worden in een regel gebruikt, alleen omdat diegene gehoord heeft dat die opties "beter" zou zijn.

ik denk als je voor zekerheid wilt gaan je bijv. _niet_ -fomit-frame-pointer moet gebruiken, aangezien je moeilijker kunt achterhalen waar je app gecrashed is. en als je veiligheid wilt wil je zoon fout snel verholpen hebben.

[ Voor 89% gewijzigd door PipoDeClown op 12-05-2004 18:48 ]

God weet alles, want hij is lid van de Mosad. To protect your freedom i will take that away from you. Mijn drankgebruik heeft ernstig te lijden onder mijn gezondheid.


Verwijderd

Zelfs ~arch pakketten vallen in de regel mee qua stabiliteits problemen tegenwoordig.

Gelukkig heeft men tegenwoordig hardmasks in de ebuild files van de pakketten zelf.

Verder is het i.m.o. nogal krom om ~arch te gaan vergelijken met Debian Stable...
Vergelijk dan ten minste Hardened Gentoo met Debian Stable.

De volgende vergelijking lijkt me iig vrij redelijk:
Debian Stable--Hardened Gentoo
--Gentoo
Debian Testing--
--Gentoo ~arch
Debian Unstable--
--Gentoo ~arch met gebruikersverwijderde
hardmasks/aangepaste virtuals en package.mask
Pagina: 1