Veiligheid: Debian stable vs. Gentoo bleeding edge

Gentoo heeft ook 2 stadia. ~arch en arch. ~arch is dus unstable en arch is dat hopelijk niet. arch van Gentoo kan vergeleken worden met unstable van Debian en ~arch is dus extremely bleeding edge, wordt nog net niet direct van de CVS afgetrokken, maar hetscheelt vaak niet veel.

athlonkmf schreef op 11 mei 2004 @ 22:25:
Bij debian heb je een oeroud pakket dat wordt gezien als "solid as a rock", maar alle mogelijke zwakke plekken zijn alom bekend.

Deze zwakke plekken kunnen mogelijk in een nieuwe versie allang opgelost zijn, maar ja... dat moet eerst getest worden.

Zo ver ik weet worden security fixes die in een nieuwe versie van een programma zitten altijd gebackport naar de versie die in debian stable zit.

je redenatie klopt niet helemaal. Bij debian stable heb je misschien wel oudere paketten, maar er worden nog steeds security fixes voor gereleased. Dus rock-solid EN super-veilig. Bij gentoo zit je met super nieuwe paketten, met meer kans op veiligheidsgaten (in mijn optiek, want nieuwer betekent minder goed getest).

IMHO is debian stable dus veiliger.

De zwakke plekken worden er bij Debian ook wel uitgehaald. Het verschil is, dat dit gebeurt met dezelfde packages, door het Debian project zelf (AFAIK). Er wordt dus niet tegelijk gepatched en nieuwe functionaliteit toegevoegd, zoals vaak wel met geheel nieuwe versies gebeurt.

Zelf wil ik Gentoo eigenlijk niet op mijn server, omdat het zelf compileren me daar niet erg praktisch lijkt, en de stabiliteit van de packages volgens mij soms nog wel te wensen overlaat. Voor de desktop is het IMO echter een ander verhaal, daar wil ik wel de nieuwste software hebben (mits die redelijk stabiel is natuurlijk).

@ TS: Hmmm, je vergeet een belangrijk punt, Debian heeft dan wel stable met oudere versies van pakketten, maar heeft daarbij ook een security tree. Dit houdt in dat zelfs de oudere versies van stable gepatcht zijn tegen allerhande aan security leaks ed. Qua security heb ik eigenlijk gewoon liever Debian, wegens de stabiliteit en security die je erbij krijgt
Daarbij, veiligheid is niet alleen een kwestie van het OS of de software, maar ook de sysadmin

Edit:
D'oh, dat ging snel

[ Voor 4% gewijzigd door Verwijderd op 11-05-2004 22:44 ]

ik zit hier ook altijd tussen te twijfelen. Bleeding edge of liever wat stabielere software...Zelfs met een desktop pc.
Ik wil nu bijvoorbeeld een simpel desktop internet msn pctje in elkaar zetten (p200,80mb ram) maar aan de ene kant zie ik er dan het liefst gentoo op zitten omdat alles lekker nieuw is kwa msn/internet progs. Aan de andere kant valt het updaten dan niet mee. iedere dag komen er bijna wel updates uit voor je systeem. Debian stable daarentegen is allemaal lekker getest en kwa updates hoef ik er niet zo vaak naar om te kijken. Maar ja dan mis ik dus ook weer allemaal features zoals een splinternieuwe browser/ nieuwe msn etc.

Debian stable is mijns inziens (veel....) veiliger dan gentoo bleeding edge, debian testing en debian unstable met 2 vingers in de neus, en 1 voet vastgebonden.

Mijn redenatie is als volgt:

Er is een update van pakket X. Die gaat van 4.3.5 naar 4.3.6 bijvoorbeeld.
Als dit een security update was wodt ie in debian/stable gebackport naar de versie in debian, bijv 4.1.3. De bleeding edge wordt van 4.3.5 naar 4.3.6 geupdate.
In beide gevallen is de security bug gefixed.

Bij de bleeding edge zin niet alle update security updates, vaak zijn het ook functionaliteit verandereningen. Dat betekent dus ook extra werk aan je config, als die al niet helemaal breekt door een major change.

Debian/stable blijft altijd hetzelfde werken, je zou je in principe geen zorgen hoeven maken dat er opeens allerlei dingen niet meer werken.

Helaas wil je soms ook wel eens een van die nieuwe features hebben

athlonkmf schreef op 11 mei 2004 @ 22:25:
Bij debian heb je een oeroud pakket dat wordt gezien als "solid as a rock", maar alle mogelijke zwakke plekken zijn alom bekend.

Deze zwakke plekken kunnen mogelijk in een nieuwe versie allang opgelost zijn, maar ja... dat moet eerst getest worden.

Ook op een Debian-stable bak gebruik je apt-get om packages te upgraden. Bovendien is er security.debian.org. Als Debian-stable zo onveilig was, dan zou toch niemand het gebruiken? Terwijl Debian-stable juist dè (Debian) distro voor produktieomgevingen is.

SElinux

meschien nuttig om daar eens naar te kijken als veiligheid echt een issue is.
Heb er zelf nog nooit mee gewerkt, maar als het werkt zoals ze zeggen dat het werkt, is de kans dat je bak gehacked kan worden door een exploit iig al een stuk kleiner.

Voor de rest vind ik dit een rare discussie.
Waarom als veiligheid een punt is je beperken tot 2 distro's.
Het nut va vele distro's ligt juist in het feit dat er een distro voor elke taak is.

neem b.v.
trustix
Trustix Secure Linux is a Linux distribution targeted at companies, of all sizes, in need of a low footprint and high security server operating system. Trustix Secure Linux includes the open standards based SoftWare UPdater, SWUP, which keeps all software packages up-to-date, resolves library dependancies and integrates public key cryptography to ensure safety and security.

of

astaro
Astaro offers an integrated software solution that provides superior performance in an all-in-one Firewall. Its hardened operating system, stateful packet inspection, content filtering (virus & surf protection), application proxies and IPsec based VPN provides a powerful solution to today's security issues. It is designed to maximize your networks security without compromising its performance enabling telecommuters, branch offices, customers and suppliers to safely share critical business information. Our proprietary user interface, WebAdmin allows ease of use and manageability of all Open Source Firewall components, as well as the Up2Date service via the Internet. It is easy to install with all components on one CD achieving simple implementation and integration to existing network environments.

en dit is van 10 minuten even kijken op distrowatch.com

als je vraagstuk echt puur en specefiek ligt op welke nu veiliger is, gentoo of debian dan zeg ik debian zonder er ook maar over te hoeven na te denken.
simpel door distro doel.

debian is opzich een all around distro. Maar debian heeft wel een groot gedeelte van de linux server markt in handen. Dit brengt met zich mee een hoop verantwoording.
Dus zal debian ook zeker veel doen aan security.

Hier was overlaatst trouwens nog een dicussie over hier of op /.
Omdat er een bedrijf/overkoepel/organisatie een analyse had gemaakt tussen een aantal distro's en windows, en dat debian hier verassend slecht uit kwam. (ging over het aantal vulnerabilities, de realese time van patches daarvoor etc..)
De debian groep reageerde toen kwaad, omdat de gegevens gewoon fout geinterpeteerd waren.
Naast dat de mensen van debian zelf gaan bug hunten voor de exploits, worden deze fixes ook nog eens getest. En kijken ze verder dan hun neus lang is, en gaan zich ook afvragen of zulk soort fouten nog verder in de software voor komen. Hierdoor waaren ze over het algemeen trager dan de rest. Maar wel volediger. (en dat teste die organisatie dan weer niet, dus kreeg je een verdraait beeld)

heb even gezocht maar kon niks vinden. maar kan nooit meer dan een maand of 3 geleden geweest zijn.

Ik draai nu Gentoo op een aantal productie servers, wat ik merk zijn dat je vreselijk goed moet opletten met je configuratie bestanden (lang leven chattr +i) daar in tegen ben ik altijd enorm blij met een nieuwe versie van OpenSSH.
Nu ben ik ook nog zo'n idioot die ~arch packages draait. Laten we wel stellen, eerst op m'n eigen pc en daarna pas op een server.
In de tussen tijd heb ik ook een server gemaakt zonder enige vorm van firewalling en puur 'veilig' geconfigureerd. In hoeverre kijk je bijvoorbeeld standaard naar bind adressen?
Draait alles wat je niet van buiten af nodig hebt als localhost? Is je SSH (en eventueel telnet als je routers heb hangen) alleen verbonden aan een non-routable ip adres? Draai je alle pakketjes als een andere user cq in chroot?

Ik merk dat Gentoo daar veel mogelijkheden in heeft (patches specifiek voor dit gedrag, met een duidelijke tekst als je het pakketjes geinstalleerd hebt). Enig nadenken mag best tijdens het compileren. Immers als een pakketje door alle configure tests heen komt ben je er (vrijwel) gelijk zeker van dat je features die je graag wil hebben ook werken.

Sommige mensen hebben nogal aversie tegen 'unstable' pakketten, als niemand het test dan blijven pakketjes altijd unstable daarbij moet je gewoon de bugs pagina van de 'des-betreffende-distro' vullen met informatie als er problemen zijn. een emerge unmerge of een apt-get terug naar een vorige versie duurt toch twee minuten max. Dan heb je gelijk geleerd van de fouten, en wacht je totdat je ze zelf hebt opgelost of iemand voor je heeft gedaan

Verwijderd schreef op 12 mei 2004 @ 01:22:
Hier was overlaatst trouwens nog een dicussie over hier of op /.
Omdat er een bedrijf/overkoepel/organisatie een analyse had gemaakt tussen een aantal distro's en windows, en dat debian hier verassend slecht uit kwam. (ging over het aantal vulnerabilities, de realese time van patches daarvoor etc..)
De debian groep reageerde toen kwaad, omdat de gegevens gewoon fout geinterpeteerd waren.
Naast dat de mensen van debian zelf gaan bug hunten voor de exploits, worden deze fixes ook nog eens getest. En kijken ze verder dan hun neus lang is, en gaan zich ook afvragen of zulk soort fouten nog verder in de software voor komen. Hierdoor waaren ze over het algemeen trager dan de rest. Maar wel volediger. (en dat teste die organisatie dan weer niet, dus kreeg je een verdraait beeld)

heb even gezocht maar kon niks vinden. maar kan nooit meer dan een maand of 3 geleden geweest zijn.

Dat is te lezen op nieuws: Linux-distributeurs reageren op Forrester-onderzoek .
Het zit dus niet helemaal zoals je zegt. Debian kwam er _juist_ goed uit, maar was het (samen met andere distro's, die minder goed scoorden) niet eens met de manier waarop de resultaten zijn berekend.

Overigens zou ik op veiligheidsgebied ook veel sneller voor Debian stable kiezen dan voor een bleeding edge Gentoo .

Volgens mij zijn er twee kanten aan het verhaal, stabiliteit en veiligheid. Zo te horen is Debian even veilig (of veiliger) als Gentoo. Gentoo heeft ook uitgebreide ondersteuning voor SELinux. Bij het compileren kunnen ook extra controles worden gedaan op de correctheid van de package (of het systeembestanden wil overschrijven e.d.).

Als je veiligheid belangrijk vindt dan kan je Gentoo ook superveilig maken en met SELinux nog wel veiliger dan een standaard debian-stable.

Daarnaast is er de stabiliteit (geen crashes, geen onvoorspelbaar gedrag etc.). Stabiliteit zou met Debian het beste moeten zijn, maar dat heeft weinig met veiligheid te maken (om even on-topic te blijven).

Veiligheid van een distributie heeft niet alleen met packages te maken, maar ook jij het geheel configureerd. Je kan dus niet zonder meer zeggen dat debian veiliger is dan gentoo, dat hangt ook voor een groot deel van de beheerder af.

Wel krijg ik het idee dat gentoo security ook serieus neemt. Zo hebben ze bijvoorbeeld de hardend sources waar features inzitten (SE Linux, PAX, propolice enz) die niet in debian beschikbaar zijn zonder third party packages of zelf source compileren.

Oh en er is natuurlijk ook adamantix (http://www.trusteddebian.org/) Dit project wil een beetje vergelijkbare features aanbieden als in hardend gentoo.

Overigens heb ik beide niet zelf getest, maar overweeg ik hardend gentoo in de toekomst wel op mijn server te gaan draaien.

Trouwens een van de redenen waarom Debian ook achter loopt met packages en releases zo lang op zich laten wachten naast de hierboven genoemde redenen, is omdat ze voor 10 architecturen packages moeten testen. Dat kost gewoon veel tijd.

[ Voor 14% gewijzigd door Verwijderd op 12-05-2004 10:54 ]

Je mag wel hopen dat Debian Stable veiliger is dan Gentoo - da's een van de belangrijkste redenen (naast stabiliteit) waarom je Debian Stable zou draaien. De software is namelijk wel redelijk outdated, maar voor servers is een trage update cyclus vaak juist een voordeel (vooral als security-updates wel bijgehouden worden, zoals bij Debian het geval is).

Iets wat voor mij nieuw was: in de Gentoo Weekly Newsletter van deze week zag ik dat ze bezig zijn met een interessant tooltje, 'glsa-check' (GLSA = Gentoo Linux Security Anncouncement), dat dus de geinstalleerde packages checkt tegen de lijst met security announcements, en aangeeft wat op jouw systeem bijgewerkt zou moeten worden.

Het is de bedoeling dat dit later in portage/emerge geintegreerd wordt, zie hier voor een beschrijving van glsa-check, en hier voor de Gentoo Linux security guide - die overigens een heleboel algemene tips bevat die ook voor andere OSen dan Gentoo en zelfs Linux van toepassing zijn.

Dat vind ik wel een interessante ontwikkeling die ik jullie niet wilde onthouden (ik had er zelf nog niks van meegekregen namelijk tot nu toe ).

Wilke schreef op 12 mei 2004 @ 18:05:
Het is de bedoeling dat dit later in portage/emerge geintegreerd wordt, zie hier voor een beschrijving van glsa-check, en hier voor de Gentoo Linux security guide - die overigens een heleboel algemene tips bevat die ook voor andere OSen dan Gentoo en zelfs Linux van toepassing zijn.

Dat vind ik wel een interessante ontwikkeling die ik jullie niet wilde onthouden (ik had er zelf nog niks van meegekregen namelijk tot nu toe ).

Inderdaad een interessante ontwikkeling. Het is een beginnetje voor de veel geopperde feature 'security only updates'. Dus niet meteen een nieuwe glibc hoeven installeren op je server maar wel alle gaten gedicht houden. Ik weet niet of ie er al is maar er was ook een tijdje sprake van een soort server versie van gentoo met minder pakketten en minder updates.

Het is trouwens wel mooi om te zien hoe Gentoo is uitgegroeid van een distro voor rare compileer geile gekken tot compleet en generiek package system. Je kan zelfs portage (hart van Gentoo) installeren op OS-X en dan via portage programma's installeren daarop. Geniaal

Het is trouwens nog niet hetzelfde als security updates backporten, maar dat zal wel een volgende stap worden gok ik.

In ieder geval is het al heel positief dat je kunt zien 'hee, dit is software waarin een lek kan zitten, ga iig eens checken wat er mee moet gebeuren'.

mwa, linux is just a bunch of code
en alles is experimenteel. zelfs voor beproefde programmas komt er wel eens een "security" fix uit.
bijvoorbeel gcc 3.4 zit nog niet in gentoo "stable" maar wel in archlinux
als je echt een bleeding edge wilt hebben probeer je die versie van linuxs from scratch http://belfs.linux-phreak.net/

balk schreef op 12 mei 2004 @ 18:24:
[...]
Het is trouwens wel mooi om te zien hoe Gentoo is uitgegroeid van een distro voor rare compileer geile gekken tot compleet en generiek package system. Je kan zelfs portage (hart van Gentoo) installeren op OS-X en dan via portage programma's installeren daarop. Geniaal

wel grappig als je over al die gcc optimalisaties leest op dat forum. heel veel redundante opties worden in een regel gebruikt, alleen omdat diegene gehoord heeft dat die opties "beter" zou zijn.

ik denk als je voor zekerheid wilt gaan je bijv. _niet_ -fomit-frame-pointer moet gebruiken, aangezien je moeilijker kunt achterhalen waar je app gecrashed is. en als je veiligheid wilt wil je zoon fout snel verholpen hebben.

[ Voor 89% gewijzigd door PipoDeClown op 12-05-2004 18:48 ]

Zelfs ~arch pakketten vallen in de regel mee qua stabiliteits problemen tegenwoordig.

Gelukkig heeft men tegenwoordig hardmasks in de ebuild files van de pakketten zelf.

Verder is het i.m.o. nogal krom om ~arch te gaan vergelijken met Debian Stable...
Vergelijk dan ten minste Hardened Gentoo met Debian Stable.

De volgende vergelijking lijkt me iig vrij redelijk:

Debian Stable	--	Hardened Gentoo
	--	Gentoo
Debian Testing	--
	--	Gentoo ~arch
Debian Unstable	--
	--	Gentoo ~arch met gebruikersverwijderde
		hardmasks/aangepaste virtuals en package.mask