Debian 10 mit Secure Boot und Apparmor

Die Entwickler von Debian GNU/Linux schicken die zehnte Auflage der freien Distribution ins Rennen. Wir haben sie uns genauer angesehen.

In Pocket speichern vorlesen Druckansicht 254 Kommentare lesen
Hundejahre: Debian 10 mit Secure Boot und Apparmor
Lesezeit: 7 Min.
Von
  • Peter Siering
Inhaltsverzeichnis

Seit Samstag, dem 6. Juli ist die zehnte Stable-Version der beliebten Linux-Distribution Debian mit dem Codenamen "Buster" verfĂĽgbar; Toy-Story-Namensgeber war diesmal Andys Weihnachtsgeschenk.

Über die erwartungsgemäß aktualisierte Software hinaus bringt Debian 10 einige technische Verbesserungen: Die Firewall im Kernel verwendet die neue Technik nftables. Firewallnutzer müssen trotzdem nicht umdenken: Die altbekannten administrativen Werkzeuge arbeiten weiterhin. Man kann iptables-Kommandos absetzen und sie werden auf die neue Technik umgesetzt. So überleben sogar beim Upgrade auch mittels iptables-persistent konservierte Regeln. Langfristig sollten sich Nutzer mit dem neuen nft-Kommando für nftables vertraut machen, denn es erleichtert den gleichzeitigen Umgang mit IPv4 und IPv6.

Die Sicherheitstechnik AppArmor ist jetzt standardmäßig eingeschaltet. Das heißt, dass Nutzer sich dafür nicht erst an der Boot-Konfiguration zu schaffen machen müssen. Die Programme zum Anzeigen der aktiven AppArmor-Profile sowie zusätzliche Profile muss man aber von Hand hinzufügen. Debian 10 lädt zunächst nur fünf Profile, ist also nicht sofort vollständig mit AppArmor gepanzert, sondern man muss die Sicherheitstechnik selbst auf den Plan rufen – wer mit dem Übermut solcher Techniken gehadert hat, wird sich darüber freuen.

Aus dem Live-System heraus gibt es einen neuen vereinfachten Installer auf Basis von Calamares.

Als letzte der großen Distributionen lässt sich Debian nun endlich auf PCs mit aktiviertem UEFI Secure Boot installieren. Die auf einen USB-Stick gespielten ISO-Images booten, wenn der Schutz aktiv ist, und richten das Betriebssystem ein. Dabei hilft ein von Microsoft signierter Mini-Boot-Loader Shim, der dann Grub und Kernel nachlädt, die das Debian-Projekt signiert hat. Solange Secure Boot an ist, lädt der Kernel keine nachkompilierten Module; um das zu ändern, muss man die Sicherheitstechnik im BIOS-Setup oder über Shim-Tricks lahmlegen.

Für die Installation verwendet Debian nach wie vor seinen eigenen Installer, den es in einer grafischen und einer reinen Textversion gibt; beide kennen jetzt einen Dark-Mode. Für die Debian-Livemedien setzen die Entwickler auf eine Alternative für die Installation aus dem Live-System heraus: Sie haben mit dem Installer-Framework Calamares eine vereinfachte Installations-Oberfläche gebaut, die deutlich weniger Fragen als die offiziellen Installer stellt und deshalb für Einsteiger sicher einfacher ist.

Mehr Infos

Vorreiter Raspberry

Das Betriebssystem des Raspberry Pi namens Raspbian baut üblicherweise auf Debian auf. Dort gibt es nur ein stabiles Release und nicht die zusätzlichen Zweige für Testing oder Unstable. Entsprechend lassen sich die Raspi-Macher meist Zeit und veröffentlichen mehrere Monate nach einem stabilen Debian-Release ein neues Raspbian. Bei Debian 10 waren Sie schneller. Raspbian auf dieser Basis kam schon zur Markteinführung des Raspberry Pi 4 am 20.6. heraus. Insofern betreffen viele der Neuerungen eben auch die Raspi-Welt. Die in Raspbian enthaltene Software für Docker funktionierte anders als die in Buster initial nicht. Bis sie korrigiert ist, kann man sich mit den Debian-Arm-Paketen helfen.

Wie viele andere Distributionen räumt auch Debian die Systemverzeichnisse auf. So wandern Dateien aus /lib, /sbin und /bin in Unterverzeichnisse von /usr. Links am Ursprung sorgen dafür, dass die Umbaumaßnahmen keine argen Inkompatibilitäten verursachen: Skripte laufen also, egal, ob sie mit #!/bin/bash oder #!/usr/bin/bash beginnen. Praktisch ist eine so vereinfachte Hierarchie zum Beispiel auch, wenn Container-Techniken Binärdateien lesend einbinden wollen und mit /usr gleich alles zu fassen kriegen.

Optional lässt sich die Paketverwaltung härten. APT verwendet dann Sandboxing des Kernels, um die erlaubten System-Calls zu reduzieren. Obendrein dreht Debian ein wenig an der Aktualisierungsstrategie: Bisher hat das Paket unattended-upgrades nur Sicherheitsupdates eingespielt. In Zukunft wird es auch im Rahmen von Point-Releases veröffentlichte Pakete aktualisieren, also Software, die mit Debian 10.1, 10.2 und so weiter erscheint.

Als Datenbank für Standardanforderung bleibt Debian bei MariaDB, die in Stretch MySQL beerbt hatte und nicht überall Begeisterung auslöste. Deutschsprachige Nutzer dürfen sich über erweiterte man-Pages freuen; die sollen über Backports im Supportzeitraum weiter anwachsen. Für verschlüsselte Datenträger verwendet Debian nunmehr das LUKS2-Format, was wegen Grub-Inkompatibilitäten vorerst eine unverschlüsselte Partition für /boot erfordert.

Debian bietet reichlich Desktop-Umgebungen zur Installation an. Die lassen sich auch nachträglich mittels tasksel hinzufügen.

Debian 10 richtet von Haus aus Gnome als grafische Bedienoberfläche ein, das standardmäßig nicht mehr im X11-, sondern im Wayland-Modus arbeitet. Ein neues Theme sorgt für aufgefrischte Optik. Durch den neuen Compositor laufen einige Programme, die höhere Rechte beanspruchen, in der grafischen Umgebung nicht ohne weitere Handgriffe, etwa der Paketmanager Synaptic. Wer nicht auf im Terminal-Fenster ausgeführte Alternativen zurückgreifen mag, kann die Bedienoberfläche über den Anmeldemanager im X11-Modus starten.

Ein paar durchaus verbreitete Pakete haben es nicht in Debian 10 geschafft: Das Datenbankwerkzeug phpmyadmin fehlt, weil sich nicht rechtzeitig ein aktiver Betreuer fĂĽr das Paket fand. Der Minimal-Mailer ssmtp musste wegen Zertifikatsproblemen drauĂźen bleiben. Nutzer des Passwortmanagers revelation mĂĽssen sich nach einem neuen Programm umsehen. FĂĽr einige andere Pakete empfehlen die Debianer baldiges Umsteigen, liefern aber die alte Version noch mit, etwa fĂĽr Icinga 1, Python 2, Mailman 2.1; neuere Versionen sind ebenfalls Bestandteil.

Die Container-Software Docker liegt in Version 18.09.1 bei, was ziemlich nah an der aktuellen Entwicklung ist.

Wer von Debian 9 auf 10 aktualisiert, braucht nur mit wenig Überraschungen zu rechnen. PostgreSQL will allerdings seine Indexe neu generieren. Wenn das System bereits von Version 8 aktualisiert wurde, ändern sich jetzt endgültig die Namen der Netzwerkkarten: Die Entwickler haben die Regeln gestrichen, die dort noch Namen wie eth0 oder wlan0 unangetastet ließen. Beim Update bekommen solche Geräte dann persistente Namen wie enp0s1 oder wlp2s5 – je nachdem, an welchem Bus sie hängen und in welchem Slot sie stecken.

Wie bisher glänzt Debian mit einer großen Grundausstattung, für die die Entwickler Sicherheitsupdates liefern. Ausgenommen sind allerdings die diversen Browser-Engines, etwa webkit und khtml. Für den Besuch nicht vertrauenswürdiger Web-Seiten empfehlen die Entwickler Firefox und Chromium. Die erhalten durch das regelmäßige Neubauen ihrer ESR-Versionen letztlich auch Sicherheitsupdates. Im Vergleich zum Vorgänger ergänzt Debian 10 über 15.000 neue Pakete und bringt es insgesamt auf über 50.000.

Wie eh und je ist Debian 10 kein mutiges Feature-Feuerwerk, sondern eine konservative Fortschreibung der nun mal als solide geltenden Distribution. Dadurch sucht man mancherlei Komfort vergeblich, wie ihn zum Beispiel Mint bietet. Dort enthält eine Standardinstallation mit Flatpack eine alternative Technik zur Software-Installation, die etwa das verrenkungsfreie Einrichten von Visual Studio Code erlaubt. Aber letztlich ist das nicht Debians Zielgruppe. Und: Wer’s moderner möchte, kann stets Debians Testing-Zweig für die produktive Arbeit nutzen – das Risiko ist überschaubar.

Linux-Distributions-Familie
Hersteller Debian-Projekt, www.debian.org
Supportzeitraum Sicherheitsupdates bis ein Jahr nach Erscheinen der Nachfolgeversion (Ausnahme: LTS-Zwei mit mindestens fĂĽnf Jahren)
Preis kostenlos

Downloads, weitere Hinweise: ct.de/yn8v

Literatur

[1] Thorsten Leemhuis, Schleichende Ablöse, Nftables: Neue Firewall-Technik für Linux startet endlich durch, c’t 1/2019, S. 148

[2] Thorsten Leemhuis, Gesichtskontrolle, Secure Boot und Linux, c’t 5/2013, S. 170

Mehr Infos

Versions- und Plattformreigen

Unter anderem enthält Debian 10 die folgenden Softwareversionen: Bash 5.0, Cryptsetup 2.1, Emacs 26, GCC 8.3, Gnome 3.30, GnuPG 2.2, KDE Plasma 5.14, LibreOffice 6.1, LAXDE 10, LLVM/Clang 7.0.1, MariaDB 10.3, Mate 1.2, Mesa 18.3, Node.js 10.15, OpenJDK 11, OpenSSH 7.9p1, PHP 7.3, PostgreSQL 11, Python 3.7, Samba 4.9, Xfce 4.12. Als Kernel verwendet die Distribution Longterm-Linux 4.19 und holt so in Sachen Hardware-Support deutlich gegenüber dem Vorläufer auf.

(ps)