Richtiges Linux und Freizeit-Linux

365. Das ist die Zahl der Linux Distributionen, die Distrowatch kennt. Für jeden Tag des Jahres eine neue, die man benutzen kann. Die Gunst der Benutzer teilen sich hingegen sehr viel weniger - nennenswert sind davon nur ein paar wenige davon. Unter diesen “Major” Distributionen gibt es, wenn auch nicht Rivalität, so doch eine gewisse Konkurrenz. Schnell trennt sich jedoch die Spreu vom Weizen, gute Distributionen von denen die nur gut sein wollen. Zum Beispiel Ubuntu.

Ubuntu ist toll!

Freie Software unterscheidet sich in einigen Punkten maßgeblich von anderer. Einer dieser fundamentalsten Unterschiede ist bereits im Namen angedeutet, die freie Verfügbarkeit. Jeder kann ein freies Softwareprodukt nehmen, es vom bisherigen Projekt abspalten und fortan unter eigener Regie nach eigenen Vorstellungen weiterführen. “Fork” nennt man das - die Ursachen und Motive dafür sind verschieden, es ist im Open Source Universum aber ein tägliches Ereignis.

“Das will ich auch”, dachte sich Mark Shuttleworth, nicht unumstrittener IT-Hippie und Dot-Com-Millionär und setzte sich in den Kopf eine eigene Linux Distribution zu entwickeln. Er nahm also die solideste, stabilste Distribution die er kannte - Debian - spaltete diese ab und nannte sie fortan Ubuntu.

Seitdem vergingen vier Jahre und aus dieser Abspaltung wurde eine der beliebtesten (vielleicht auch die beliebteste) Linux Distribution überhaupt. Erreicht wird dies durch ganz einfache Mittel: man nehme den kompletten Debian Entwicklungszweig (Debian Pakete inklusive Format, Verwaltungsumgebungen, Repositories, …), baue ein paar hübsche grafische “Hirn aus” Oberflächen für die archaischen Debian Konsolenwerkzeuge und Konfigurationsdateien, ergänze die Distribution um hippe grafische Gimmicks wie Compiz, veröffentliche alle paar Monate eine neue Version und verpasse dem ganzen Ubuntu Projekt noch ein einsteigerfreundliches, weltoffenes, sympathisches Ambiente.
Fertig ist der bunte, weltoffene, moderne, hippe, fröhliche, einfach funktionierende, leicht zu bedienende Debian Klon. Foren, Mailinglisten und Fachzeitschriften pushen den Hype und schon hat man die beste, revolutionärste Distribution überhaupt. So toll, das sogar Leute, die lieber bei Windows hätten bleiben sollen, jetzt Linux benutzen wollen.

Damit sind nun alle glücklich, jeder benutzt Ubuntu und alle lebten glücklich bis an ihr Lebensende. Und wenn wir noch nicht gestorben sind, leben wir noch heute mit Ubuntu.

… oder auch nicht

Fast.

Da ist noch eine Kleinigkeit. Mittlerweile gibt es auch Leute die Ubuntu auf ihren Servern benutzen. Nicht etwa weil Ubuntu im Vergleich zu Debian so toll wäre, sondern wegen der häufigeren Updates der gesamten Distribution (voraussichtlich zumindest, das “Long Term Support” Konzept von Ubuntu ist noch relativ neu und was anderes kommt auf seriösen Servern sowieso nicht in Frage). Für diese wackeren Helden, die Ubuntu auf Servern benutzen, gibts mittlerweile eine eigene Edition die gegenwärtig auf “Ubuntu Dapper Drake LTS” basiert.

Diese lästige Server Edition bringt jedoch für Canonical (die Firma hinter Ubuntu - ja, Ubuntu ist eine kommerzielle Distribution) aber ein paar lästige Mitbringsel mit. Plötzlich gibts nicht mehr nur bunte Desktops und knallige Oberflächen, die programmiert sein wollen. Nein, auf einmal muss man sich auch um sowas lästiges wie Sicherheitsupdates (oder stabile, moderate Versionsupgrades) kümmern. Und dabei scheitert Ubuntu kläglich - wie die folgende dokumentierte Chronologie zeigt.

Solche Dinge gehören aber dummerweise auch dazu, wenn man mit den großen Kindern im Sandkasten spielen möchte, aber dafür ist Ubuntu offensichtlich noch nicht reif. Also bitte lieber Ubuntu Kinder, baut weiter eure hübschen Sandburgen mit bunten Glitzersteinchen, aber überlasst die Finger vom seriösen Sandburgenbau ernsthaften Sandburgenbauern wie dem kleinen Debian oder der netten Red Hat von nebenan. Ja selbst der unsympathische Gentoo-Junge kann das besser. Übrigens, sogar der verspielte Mandriva Jünger kriegt das viel professioneller.

“Der böse, böse Onkel von nebenan macht meine Sandburg kaputt!”, höre ich dich schon quängeln, aber der böse Onkel sagt nichts, was er nicht auch begründen kann:

PCRE ist eine sehr populäre Bibliothek, die reguläre Ausdrücke als C-Bibliothek zur Vergügung stellt. Damit kann man Texte nach Mustern durchsuchen und entsprechende Handlungen veranlassen. Sehr beliebt sind diese zum Beispiel beim Apache Webservermodul “mod_rewrite”. Kurz, eine ganze Reihe von wichtigen Applikationen wie Apache, PHP, Python, Postfix, mySQL und noch Dutzende anderer benutzen diese Bibliothek.

Google, ebenfalls Benutzer dieser Bibliothek, fand zu einem nicht eindeutig rekonstruierbaren Zeitpunkt eine ganze Reihe von sicherheitsrelevanten Bugs, unter anderem in einer speziellen Zeichensequenz, die vom Parser nicht korrekt behandelt wird und (möglicherweise) zur Überschreibung des Speichers mit eingeschleusten Daten führen kann (der Kenner nennt sowas Buffer Overflow).

Mit anderen Worten: speziell manipulierte URLs, die zum Beispiel von Apache an mod_rewrite übergeben würden, könnten unter Umständen den Webserver zum Absturz bringen oder Schadcode einschleusen, der dann im Sicherheitskontext des Webservers ausgeführt würde - und das ist nur ein mögliches Szenario.

Der Entwickler beschreibt das Problem wie folgt im Changelog:

11. Because Perl interprets \Q...\E at a high level, and ignores orphan \E
    instances, patterns such as [\Q\E] or [\E] or even [^\E] cause an error,
    because the ] is interpreted as the first data character and the
    terminating ] is not found. PCRE has been made compatible with Perl in this
    regard. Previously, it interpreted [\Q\E] as an empty class, and [\E] could
    cause memory overwriting.

Und veröffentlicht gleichzeitig am 28. August eine neue Version der Bibliothek. Danach passiert lange Zeit nichts, bis ein Mitglied des “Google Security Team” das Potential dieser Lücke erkennt und Anfang November in CVE-2007-1659 einen entsprechenden Warnhinweis verfasst. CVE heißt “Common Vulnerabilities and Exposures” und ist eine standardisierte Datenbank zur eindeutigen herstellerübergreifenden Identifikation von sicherheitsrelevanten Problemen in Software. Am 5. November treffen die Gefahrenhinweise offensichtlich bei den diversen Linux Distributoren ein und die seriösen davon beginnen damit aktualisierte Pakete bereitzustellen.

Eine Chronologie (die Uhrzeiten beziehen sich, soweit vorhanden auf die Veröffentlichung des Gefahrenhinweises auf der Full Disclosure Mailingliste) :

  • 05.11. 21:22 Debian veröffentlicht aktualisierte Pakete und ein zugehöriges Advisory (DSA-1399-1)
  • 05.11 Das Problem wird in die ISS X-Force Datenbank aufgenommen (#38272) und mit “hohe Gefahr” klassifiziert.
  • 06.11 12:08 Das Problem kommt bei heise.de an, eine Meldung wird über den Newsticker veröffentlicht
  • 06.11 21:15 rPath veröffentlicht Hinweise und aktualisierte Pakete für seine Produkte (rPSA 2007-0231-1)
  • 08.11 22:12 Madriva zieht nach (MDKSA-2007:213)
  • 09.11 Secunia erkennt das Problem (und bezieht sich auf das Mandriva Advisory): SA27598. Klassifikation: Mittelkritisch
  • 09.11 Red Hat veröffentlicht Patches (RHSA-2007:1052-5)
  • 20.11 22:44 Sogar bei Gentoo ist das Problem angekommen (GLSA 200711-30)

Aber wo ist Ubuntu? Man weiß es nicht. Die Tage, ja selbst Wochen vergehen, ohne dass man bei Ubuntu reagieren würde. Nicht, dass man nichts davon gewusst hätte, nachdem das Problem bei jeder nennenswerten Sicherheitsseite und -firma bekannt wird. Ja man hätte sogar nur die Debian Advisories lesen müssen und - wie immer - die Debian Pakete klauen. Aber nichts passiert. Man kann ja noch nicht einmal behaupten, man hätte nichts vom Problem gewusst, nachdem am 06.11 (!) bereits ein Bugreport bei Ubuntu einging. Trotzdem lässt man sich nach wie vor tagelang Zeit.

Nicht weniger als 22 Tage vergehen, bis man sich bei Ubuntu zu einem Advisory überreden lässt und - endlich - neue Pakete bereitstellt (USN-547-1). Eine unverantwortliche Situation, die Administratoren fast ein Monat auf neue Pakete warten zu lassen.

Vielleicht muss man bei Ubuntu auch nur kapieren, dass eine gute Distribution nicht nur schwachsinnige Releasenamen und bunte Oberflächen ausmacht, sondern Wartungsfreundlichkeit und Aktualität wo die gefragt ist. Ich zumindest habe wesentlich lieber aktuelle PCRE-Pakete, wenn dort Sicherheitslücken bekannt sind, als topaktuelle Desktopapplikationen. Solange sich da bei Canonical nichts ändert, ist und bleibt Ubuntu ein Freizeit-Linux.

Kategorien

Eingeordnet unter: und

Verwandte Artikel

13 Antworten auf »Richtiges Linux und Freizeit-Linux«

  1. Ok, müssen wir ja nur noch auf die anderen 20 ungefixten Updates warten. :o)

    missi - 29. November 2007 um 08:26

  2. Debian-Pakete kann man nicht “klauen”; man darf sie nutzen , weitergeben, ihren Quellcode studieren und sie verbessern. Man kann mit ihnen also eine Menge machen, nur “klauen” kann man sie nicht. ;-)

    Michael Stehmann - 29. November 2007 um 14:39

  3. Dankeschön,
    ich dachte schon ich wäre der Einzige, welcher diese Meinung zu Ubuntu auf Servern hat. Ich selber nutze es nicht und ich freue mich, dass es noch andere gibt, welche diese Meinung hegen und Sie auch belegen können.
    Klauen, da hat mein Vorposter schon Recht, aber ich weiss ganz genau, was Du meinst und empfinde es auch so. Wenn ich mitbekomme, dass Firmen nun Ubuntu als Server einsetzen und ich als Administrator Debian postuliere, dann geschnitten und übergangen werde, wird mir ganz schlecht. Ich habe mir Ubuntu/Kubuntu angeschaut und bleibe bei meinem Debian Etch auch auf dem Desktop. Was ich in neuer Version brauche, da es vielleicht ein Feature hat auf welches ich nicht verzichten kann, dann baue ich mir selber ein *deb und setze es auch in das Internet falls es Tage bei mir stabil läuft. Es ist halt das ganze Gimmickhafte, welches die Neu-Nutzer in Sachen Linux scheinbar brauchen, vor allem immer die neueste Version. Durch mein öfteres Nachhaken fiel mir auf, dass diese Neulinuxjünger nicht einmal begründen können warum sie die neue Version brauchen. IMO ein gutes Betriebssystem wird zu der Spielwiese der teilweise prepupertären Möchtegernhacker, weil es ja so schicklich ist.
    Danke ein sehr guter Text, mach weiter so.

    Grüsse Seraphyn

    Seraphyn - 3. Dezember 2007 um 08:48

  4. Na, was ist schöner als ein netter Distro-War? ;)
    Wenn du schon Ubuntu bashen willst - deren clamAV Stunt fand ich viel besser[1]. Auch schön, dass man nun neuerdings die eigene Unfähigkeit auf die Community abwälzt[2], denn wer das so unreflektiert glaubt, dem ist eh nimmer zu helfen.

    Natürlich ist Ubuntu als Server-OS ungeeignet, das fängt hier sogar bei upstart an (wobei es ansich ne ganz sinnige Geschichte ist, aber auf Produktivsystemen wollte ichs nun nicht haben).
    Als Desktop-OS ist Ubuntu IMO allerdings durchaus brauchbar - ich kenne jedenfalls keine Distribution, die mir persönlich brauchbarer erscheint. Nicht wegen den ganzen Helferlein, die mit viel Voodoo irgendwas nicht-nachvollziehbares anstellen, auch nicht wegen Gimmicks wie compiz im stabilen Zweig. Vieles davon geht mir persönlich sogar auf den Sack (avahi hängt mit zig Paketen zusammen und will sich dauernd wieder einschmuggeln, obgleich zeroconf schon als Idee scheiße ist, der network-manager, der mit feisty per default installiert wurde, auch wenn man ihn vorher gar nicht hatte, hat mir Magenschmerzen bereitet usw.).
    Doch trotz alledem - Das System läuft. Ich muss mir seitdem keine Pakete mehr selbst bauen, ich habe alles in einer für mich akzeptablen Aktualität. Ich habe nur noch die offiziellen Paketquellen und muss nicht fieberhaft nach Backports/anderen Projekten Suchen, wie es bei Debilian desöfteren der Fall ist, weil Debian selbst oder eine andere $QUELLE einfach keine (neuen) Pakete bereitstellt.
    Das canonical-Team macht zwar desöfteren den Eindruck einen blöckenden Herde Schafe und übertrumpft sich an Inkompetenz bisweilen selbst - doch all das ist für *mich* durchaus tragbar.
    Die Sicherheitslücken in deren “Kernbereich”, also Desktop-Applikationen, werden in der Regel schnell geschlossen, da hängt Ubuntu den anderen großen in nichts nach, die Aktualität der Pakete ist hervorragend, und Backports für sinnvolle Geschichten werden in den aktuellen Zweig portiert und sind über Ubuntu selbst erhältlich (es bleibt also bei quasi einer Quelle).

    Hier läuft seit nunmehr 3 Jahren ununterbrochen Ubuntu - angefangen mit 4.10, als Ubuntu noch lange nicht den Hype hatte, der nun um die Distribution gemacht wird. Es tut, ganz ehrlich.
    In der Benutzung ist es gewöhnungbedürftig, klar. Wenn man sein Ubuntu zu einem Debian verbiegen will, fällt man auf die Schnauze, weil einem dauernd irgendwas auf den Fuß fällt. Wenn man es einfach so akzeptiert ist es aber gutmütig zu einem, und es läuft. Immer. Auch nach Upgrades. Selbst nach aptitude dist-upgrades tut es. Sofort.

    Ich möchte gar nicht wissen, wieviel Zeit ich hier schon -im Vergleich zu Debian- gespart habe, ich denke aber oft an die schwere Zeit zurück, als ich noch ein sid auf dem Desktop hatte.
    Klar, man hats immer gefixt bekommen - aber es war müssig.
    Ich will mit der Kiste aber vorallem arbeiten, und mich nicht damit beschäftigen *müssen*. Das muss ich eh den ganzen Tag machen. Ich denke, ich weiß ansatzweise, wie mein System funktioniert, und auch, wie ich es heile machen kann - ich muss das nicht dauernd üben.
    Es soll funktionieren, immer, auch nach Upgrades. Ich möchte auch divx-Filme wie Youtube-Videos beglotzen können, ebenso wie ich auch mal böse wma/wmv-Files abspielen will, ohne erst nach passenden Paketen dafür ausschau zu halten. Wenn meine Fenster wackeln sollen, und ich Effekte wünsche, die einer Warnung vor epileptischen Anfällen bedürfen, dann soll das funktionieren, ohne dass ich mein System verbiegen muss.
    Nein - letzteres will ich nicht, weil ich leicht seekrank werde, und es mich fürchterlich beim Arbeiten stört - aber ich _könnte_. Problemlos.

    Debian gängelt den Nutzer ebenso. Anders, aber dennoch störend. Wenn ich mir alleine anschaue, wie Exim bzw. dessen Konfig, verschandelt wurde - da kann kein Debianist mehr den Finger heben und was von DAU-Freundlichkeit sagen.
    Oder die Tatsache, dass man die Dokumentation, die unter der FDL steht, kurzerhand als Bug definiert(!)[3] und aus dem Repositorie schmeisst[4]. Hut ab, vorbei die Zeiten, als man Stallmann noch als “Hardliner” bezeichnen durfte :)
    Aber - welcher hartgesottene und eingefleischte Debianist braucht schon Docs zu bash, gunzip, tar usw.?
    Das Basissystem muss halt nicht dokumentiert sein - sowas kennt der Debianist von Welt!
    Hier werden Nägel mit Köpfen gemacht. Verstehen muss man es indess wohl nicht.

    Unterm Strich ist Debian dennoch das wohl tauglichste OS für Server.
    Ich zitiere einmal Jürgen P. Meier, der es hier[5] absolut treffend so gesagt hat:
    “Gna. Ich kann debian nicht ausstehen. Es ist eine verstaubte,
    lahmarschige Distribution betrieben von einer Herde Affen.

    Dummerweise ist es meiner Erfahrung nach derzeit die fuer einen
    Server, bei dem Stabilitaet und Service-Kontinuitaet wichtig sind, am
    besten geeignetste.
    Ausserdem ist sie von dem dutzend verschiedenen Distributionen, die
    ich bisher angeschaut hatte, noch diejenige, die den Admin am
    wenigsten bevormundet.”

    Auf meinem Desktop bleibt hingegen Ubuntu - Sid will ich mir nimmer antun, und stable wird mir mit der Zeit zu stressig, wenn ich mir für zig Dinge Backports/andere Quellen suchen muss, oder mir die Pakete selbst übersetzen muss.

    [1] http://www.heise.de/newsticker/meldung/78514
    [2] http://www.heise.de/newsticker/meldung/94441
    [3] http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=357260
    [4] http://packages.debian.org/changelogs/pool/main/b/bash/bash_3.1dfsg-8/changelog
    [5] http://groups.google.de/group/de.alt.sysadmin.recovery/msg/a99b8b337c81f904

    Toady - 3. Dezember 2007 um 20:03

  5. Interessant geschrieben, doch, Ubuntu enttäuscht mich auf dem Server, sowie auf dem Desktop immer mehr. Auch wenn die Serverseite für mich nicht die große Rolle spielt, bin ich über die Vorgehensweise bei Sicherheitslücken doch mehr als enttäuscht.

    Für meinen Desktop-PC jedenfalls bedeutet dies: Erst einmal kommt kein Ubuntu auf den Rechner, an Debian werde ich mich wohl noch einmal herantasten.

    glidesurfer - 3. Dezember 2007 um 20:47

  6. Warum sollte man denn Debian nutzen, wenn man Ubuntu haben kann? Meine Antwort:

    http://www.ubuntu-forum.de/thread.php?postid=181096#post181096

    Klasse Beitrag von Dir! Danke.

    Gruß
    Dunkelangst

    Dunkelangst - 27. Januar 2008 um 17:03

  7. Ein typischer Dunkelangst Link. Dank auch dafür. ;-)

    Ronin - 30. Januar 2008 um 22:01

  8. Mann das hat vielleicht gedauert damals, also bei Debian jetzt.

    Ich habe _Stunden_ gewartet, irgendwann gefragt was denn nu ist mit dem neuen Paket und dann als Antwort bekommen es compile noch.
    Naja dauert halt sowas fuer gefuehlt 30000 Platformen durchzutreten.

    Klickibunti, hmm naja also dafuer hab ich jetzt OSX, das ist dann wenigstens ein richtiges UNIX. ;-)

    Ich will ja eigentlich nicht ueber Debian meckern aber etwas muss ich dann doch loswerden: Ich _will_ nicht von kernel 2.2 auf 2.6 upgraden bloss weil da ne neue libc6 ansteht, die Kiste steht in Frankfurt menno. Nagut morgen oder so…

    Zap - 11. Februar 2008 um 17:32

  9. Irgendwie hab ich das Gefühl hier hat niemand wirklich eine Ahnung wovon er redet. Bin ja auch absolut kein Ubuntu-Fan, aber eine objektive Aussage zum Thema Sicherheit ist das ja bestimmt nicht. Und zum Thema OS X von Ronin kann ich nur lachen. Apple kennt das Wort Sicherheit doch nicht mal…

    realist - 1. April 2008 um 22:26

  10. oh man…oh man, was für ein miserabler Artikel *kopfschüttel*
    Objektivität? Fehlanzeige!
    Das einzige was du, lieber Autor, kannst ist flamen…und selbst das kannste nicht.
    Ist schon bitter, wenn man nichtmal flamen kann…

    detru - 26. April 2008 um 02:48

  11. detru: Voulez-vous vous detruir? Le monde dit «merci».

    Ich beichte: Ich benutze Ubuntu. Ich könnte jetzt damit argumentieren, dass ich erst 16 bin und damit meine pubertären Hormone ein intellektuelles Defizit hervorrufen, aber ich tue es nicht. Denn von einem, der wirklich auf Linux umsteigen will, und auch bereit ist, viel zu lernen, kann man durchaus erwarten, dass er sich zunächst die “einsteigerfreundlichste” Distribution installiert. Sich einarbeitet, bevor er etwas durch Unwissen kaputt macht.

    In dem Sinne hilft Ubuntu vielen Einsteigern, sich in der Linux-Welt zurechtzufinden, allerdings geht die Propaganda zu weit, wenn sie sagt: “Linux ist Massenmarktreif. Mit Ubuntu kann jeder Linux benutzen”. Das ist nach wie vor Schwachsinn. Denn diese Sprüche implizieren, das Ubuntu ein besseres und kostenloses Windows ist. Was es natürlich nicht ist.

    Also: Vor der Polemik würde ich von Ihnen doch die Einsicht erbitten, dass die Ubuntu-Gemeinde doch einige lernwillige, interessierte, aber zunächst unwissende Leute hervorzeigen kann.

    Martin - 26. April 2008 um 15:05

  12. @Martin ich vermute du meinst “détruire”?
    nein, ich möchte niemanden “zerstören” oder töten (je nachdem was du gemeint hast…détruire hat viele bedeutungen, die zwar alle destruktiver natur sind, aber sich dennoch unterscheiden)

    Aber was danach kommt versteh ich nicht so ganz (sorry, aber 2 Jahre freiw. Französisch und die hälfte geschwänzt *lol* und das is auch schon 4 Jahre her ;))

    Le monde ist “Die Erde”
    aber was heißt “dit” ?
    Die Erde schweigt?!

    zum restlichen: Ja, es gibt ein paar Leute die einfach sich nicht informieren wollen…aber davon hab ich unter ca. 400 Usern denen ich geholfen haben nur ca. 5 gefunden.

    unzählige Threads die ich gelesen habe (da hab ich nochmal 2 gefunden, wovon sich einer gebessert hat nachdem er begriffen hat, dass er auch was tuen muss)

    detru - 3. Juli 2008 um 08:52

  13. Leider kann ich nur den Kopf schütteln bei so einem Bashing und suche deine Hintergründe.
    Nicht einmal MS würde ich so angreifen, weil ich es auf meinem Kubuntu einfach nicht nötig habe mich über so Zeugs aufzuregen.

    NB: der Zufallsgenerator für die Key’s ? (..)

    Tscheesy - 4. Juli 2008 um 19:20

Einen Kommentar schreiben