ich alten Forum wurde mal die Frage gestellt, ob die weitere Weiternutzung von Pihole/Unbound mit Raspian Buster nach der älteren Anleitung von Tschaeggaer ein Sicherheitsrisiko darstelle.
Die Antwort war wohl, dass dies jetzt eine LTS-Version sei und jeder dies für sich selbst entscheiden müsse.
Leider bin ich bei der Installation nach der erneuerten Anleitung mit Raspbian Debian Bullseye vor einiger Zeit an einer Stelle der Anleitung hängen geblieben und konnte leider bisher die Installation nicht weiter verfolgen.
Auf meinem Pi läuft also noch Raspbian 10 Debian Buster.
Daher möchte ich hier im Forum nachfragen:
Ist (mit regelmäßig installierten Updates) Pihole mit Raspbian Buster deutlich unsicherer als mit der Installation von Raspbian Bullseye nach der neueren Anleitung?
Ist ein möglicher Grund, dass Debian Buster nicht mehr vom Debian Team selbst supported wird?
Gibt es dazu Erkenntnisse?
Gibt es generell wesentliche Unterschiede zw. Pihole/Unbound der neueren Raspbian Bullseye oder Bookworm Version im Vgl. zur älteren Installation (Raspbian Buster) wegen z.B. weiteren wichtigen Features in Bullseye - außer ggf. der Sicherheit?
Wobei es ja hier ja nur um die Verwendung als lokaler Resolver geht.
Sollte man für eine Installation anstatt Raspbian Bullseye eher Raspbian Bookworm wählen, wenn die Pi-Hardware die Wahl erlaubt?
Immer noch 1 1/2 Jahre hinter dem letzten Patch. Der aktuelle Patch ist erst in Debian Testing/Bookworm drin. Ich nutze selbst Debian Stable/Bullseye, aber es ist leider Tatsache, dass selbst in Debian Stable viele Pakete nicht auf dem aktuellen Patchstand sind.
Vielen Dank Elfchen und Ilu für die Antworten und die interessanten Links!
Wenn Debian , Urvater vieler Abkömmlinge bzw. Forks derart mit Patches nachhängt frage ich mich u.a.,ob es denn dann so ideal als Grundlage für das Raspbian OS gewählt ist.
Eine andere Frage wäre, ob es für diese Funktion als lokaler DNS-Resolver eine OS-Alternative gibt, die sehr viel schneller gepatcht wird?
Aber dann passt wahrscheinlich das Tutorial von Tschaeggaer nicht mehr datu, das sich ja auf Bullseye oder wohl auch Bookworm bezieht.
Also dann doch nur Raspbian OS auf Bullseye oder Bookworm, oder?
Man kann sich auch selbst was zusammenfrickeln bzw. ein OS nehmen was schneller Updates bekommt. Oder ein Debian Derivat welches etwas neuer ist. Irgendwas basierend auf testing oder sid. KA ob es das für Raspbian gibt. Aber soweit ich weiß läuft Debian selbst auf nem modernem RPi. Viele andere Linux Derivate oder ein *BSD auch. Nur Netzwerk und unbound Konfiguration müsste man ggf. etwas anpassen.
Also die Debian-Leute machen sich schon Gedanken über CVEs. Ich hab mir den jetzt im Detail nicht angesehen, aber es wird Gründe geben warum nicht gepatcht wird. Vermutlich geht es aus irgendeinem Grund nicht. Das halbe Internet läuft mit Debian, auch die DNS Resolver, und bisher läuft alles noch, also kann es so dramatisch nicht sein.
Wenn man ein System neu aufsetzt, kann man aber ja trotzdem zur gepatchten Variante greifen, insbesondere, wenn man nicht Rücksicht auf eine ganze Umgebung nehmen muss. Zu xyz würde ich deshalb nicht wechseln, sondern bei Debian bleiben.
Eine einfache Antwort habe ich leider auch nicht. Ich arbeite seit zwei Jahrzehnten bei Unternehmen, die hauptsächlich Debian Stable auf dem Server einsetzen. Letztendlich kommt es wohl auf das Gesamtpaket an, d.h. man verlässt sich nicht nur auf eine einzelne Sicherung.
Dienste, die ich privat installiere, installiere ich in der Regel direkt aus der Quelle und kompiliere das dann auch selbst anstatt die Pakete der Distribution zu verwenden.
Vielen Dank für die interessanten ergänzenden Antworten!
Also Fazit:
Bei Debian bleiben - wenn man nicht Experte/Nerd ist. sonst wird es kompliziert.
Upgrade auf Bullseye angehen.
Wenn ich das richtig verstanden habe hängt RaspbianOS unmittelbar an Debian und muß sozusagen auf dessen Patches warten, um diese dann einzupflegen.
Das bedeutet dann ja wohl, dass die Patches, die ich auf Raspbian Buster manchmal sogar in kurzen Abständen erhalte, im Grunde alles „veralteter Nachholbedarf“ ist.
So verstehe ich die Ausführungen von Elfchen und Ilu und die Listings in den Links.
Das klingt jetzt sehr negativ und ist so nicht richtig. Natürlich sind patches immer Reaktionen auf erkannte Sicherheitslücken und insofern „Nachholbedarf“. Und klar könnte man schneller reagieren mit mehr wo/men power und am besten wäre es, wenn die Sicherheitslücke überhaupt nicht entstanden wäre. Systeme ohne Sicherheitslücken sind aber eine Illusion. Selbst die neueste Version kompilieren ist natürlich das Optimum, aber das können nur wenige und die Zeit müssen sie dafür auch erstmal haben. Und auch darin können noch unerkannte Sicherheitslücken sein - das sind die gefährlichsten.
Du musst aber berücksichtigen, dass praktisch ALLES, was gemeldet wird, eine CVE-Nummer bekommt. Über das damit verbundene Risiko sagt der vergebene Score etwas aus, aber auch das muss nicht unbedingt der Weisheit letzter Schluss sein. Debian kennzeichnet trotzdem einiges als „invalid“.
Wenn die gelisteten CVEs wirklich schwerwiegend wären (wie z.B. log4j), würde ein/e aufmerksame/r Internet-Leser/in das mitbekommen. Wenn Du das selbst einschätzen willst, solltest Du die CVEs lesen. Ansonsten kannst Du dich auf Debian (stable) genauso verlassen, wie es tausende Unternehmen auf der ganzen Welt tun.
Falls Dir mal was schief geht, ist die Wahrscheinlichkeit, dass es an einem nicht beachteten CVE lag, eher gering.