Welches Linux aus Sicherheitsperspektive

Hallo zusammen,

ich habe hier auf die schnelle keinen Thread gefunden, wo es inhaltlich wirklich gepasst hat, deshalb ein neuer Thread. Wenn ich was übersehen habe, bitte verschieben.

Ich bin mal wieder auf der Suche nach der richtigen Distribution für mich. Wichtig dabei ist es mir, das die Distri schon von Haus aus recht sicher eingerichtet ist. Sicherheit für mich bedeutet, aktuelle Pakete, sehr schnelle Sicherheitsupdates und möglichst gute Absicherung des gesamten Systems bzgl. Malware.

Mein Wissen bzgl. Linux ist eher im unteren Bereich angesiedelt.

Gelernt bis hierher habe ich, das Systeme wie Ubuntu, Mint, Zorin oder auch Debian ihre Schwachstellen vor allem in der Aktualität haben. Dagegen werden Fedora, OpenSuse Tumbleweed und Arch immer wieder gelobt. Da meine Versuche mit Immutable Distris mich nicht wirklich angesprochen haben, fallen diese obgleich der Sicherheitsfeatures für mich erstmal raus. Genauso wie QuebesOS und Verwandte.

Natürlich bin ich jetzt keine herausragende Person of Interest, jedoch möchte ich mich dagegen absichern, das man zu einfach auf bzw. in mein System kommt. Oder man zu sehr im Fokus von Angreifern steht. Von daher ist mir der Sicherheitsaspekt der Distributionen auch wichtig.

Wo sind da die Unterschiede vom System her bei Fedora, EndeavourOS bzw. Arch und openSuse Tumbleweed ?

Da Debian, Ubuntu, Fedora und Arch weit bekannt und verbreitet sind, könnte ich mir vorstellen, das diese Systeme eher Angriffsfläche bieten ? Bzw. Exploits dort eher gesucht und ausgenutzt werden ? Ich kann mir weiterhin vorstellen, das Exploits, die unter Fedora laufen, nicht unbedingt auch unter z.B openSuse genauso zum tragen kommen und umgekehrt ?

Desweiteren bringen Fedora und openSuse SELinux von Haus aus mit. Wie ist das im Vergleich zu Arch zu bewerten ?

Wenn es Arch werden sollte, wie ist da EndeavourOS zu bewerten. Wenn ich es richtig sehe, reichen sie die Aktualisierungen von Arch gleich komplett durch, im Gegensatz zu Manjaro, wo sie aus Stabilitätsgründen noch einen Monat zurückgehalten werden ?

Und zuletzt…Wie sieht es mit den Desktop aus ? Gibt es da schon Angebote die einzig auf Wayland setzen ? Da ich immer wieder lese, das X11 ziemlich unsicher sei.

Soweit erstmal…

Wenn man das so liest, müsste man ja glauben, das das Thema Malware und Computerangriffe im Bereich von Desktopcomputern ein riesiges Thema wären. Ich bin jetzt 9 Jahre auf Linux, von einem richtigen Virusbefall habe ich noch nie etwas gehört, ebenso von der Übernahme ganzer Computer durch fremde Angreifer.
Wo liegt der Unterschied zwischen Linux und Windows?

  • Bei Linux hast du deine Repositories, aus denen du deine Software herunterlädst, während Windowsuser zunächst im Internet suchen und da gerne mal auch aus dubiosen Quellen Software laden.
  • Ich glaube schon, dass Linuxuser ein bisschen „nerdiger“ sind und nicht alles anklicken, was nicht bei 3 auf dem Baum ist.
  • Linux hat eine Verbreitung von 3%, Windows irgendetwas von 85% (die Zahl ist geschätzt).

Das letzte ist das, was dich am meisten schützt. Es lohnt sich nicht, für einen relativ kleinen „Kundenkreis“ den Aufwand zu betreiben, z.B. einen Virus zu schreiben, zumal Debian anders funktioniert als Arch und das wiederum als Fedora.
Du musst für dich selber eine Art Bestandsaufnahme machen. Bist du politischer Aktivist und kämpfst für Frauenrechte im Iran, bist du ein Krimineller, bist du sonstwie jemand, der irgendwie das Interesse von irgendwelchen Regierungen oder Organisatoren heraufbeschwört? Wenn ja, solltest du deutliche Anstrengungen unternehmen und dann bleibt z.B. bei Quebes. Wenn nein, dann bleiben dir eigentlich alle anderen Distros.
Die viel wichtigere Frage auf der anderen Seite ist, wie gross dein Linuxwissen ist. Liegt es bei Null, dann geht der erste Weg meistens über die Einstiegsfreundlichen Distros, die mehr mit einer GUI arbeiten und die nicht jede neue Programmversion gleich laden wollen. Bei Distros wie Arch bist du deutlich dichter am System und ich wage die Prognose, dass du wahrscheinlich als Anfänger nicht einmal das System installiert bekommst.
Der Weg von Windows nach Linux bedeutet am Anfang lernen, lernen und nochmal lernen. Du musst lernen, was eine sda ist, was eine fstab ist, wie man Programme und Treiber installiert, was ist ein Kernel und was macht der? Und da sehe ich dann den Weg von den sogenannten Einstiegsdistros hin zu den etwas systemnaheren Distros.
Das war jetzt lang und ich habe nicht einmal auf die Hälfte deiner Fragen geantwortet. Es ist aber immer auch schwer auf solche Roman zu antworten, zumeist verlaufen solche Threads durchaus im Chaos.

2 „Gefällt mir“

Naja…es ist halt die frage was man möchte. Ein System was theoretisch weit offen steht und darauf hoffen, das man nicht in den Fokus gerät, oder ein System was zumindest die verbreitesten Einfallstore weitesgehend schliesst. So unwahrscheinlich ein Angriff auch erstmal sein mag. Ich persönlich möchte es gerne so sicher wie möglich haben, ohne mich dabei zu sehr einzuschränken. Ein Kompromiss sozusagen zwischen Sicherheit und Bequemlichkeit. Die Immuntable Distros schränken mich leider doch etwas zu sehr ein.
Und da frage ich mich halt was es da noch gibt und wie diese Distributionen sich unterscheiden.

Ein Arch bekomme ich installiert, zwar mit Spickzettel aber es hat geklappt. Lieber würde ich dann aber mit EndeavourOS arbeiten wenn es Arch sein soll. Ansonsten blieben ja nur noch Fedora und openSuse übrig, die nach meinen Informationen auch allgemein als sicherer gelten.

Nur wo da die Unterschiede liegen in der Sicherheit ist mir nicht wirklich klar. Stichworte wie SELinux und dessen Vorteile. Arch bringt ja wohl nicht viel mit, abgesehen davon das es hochaktuell ist. Fedora ist zwar kein RR aber trotzdem sehr aktuell und bietet zudem SELinux. Bei openSuse Tumbleweed sehe ich hier ein Vorteil, das es nicht ganz so im Fokus steht wie Arch und Fedora und dabei trotzdem hoch aktuell ist.

Aber wirklich klar, welche der drei nun die sichere Wahl ist, ist es mir nicht. Und von daher wäre es interessant zu wissen wie der eine oder andere Linux „Experte“ die Sicherheit der Distros einschätzt. Mir vielleicht aufzeigt, was ich übersehe oder Tipps gibt, worauf ich achten sollte.

Genauso wie bei den Desktops. X11 gilt allgemein als anfällig, weshalb ich hier lieber ein Desktop unter Wayland nutzen wollen würde. Jedoch bietet Cinnamon, mein momentaner Favorit, wohl erst ab 2026 volle Wayland Unterstützung und ich hab nicht im Überblick wie es da gerade bei Gnome, KDE ect. ausschaut.

Und nein…Debian, Ubuntu und dessen Abkömmlinge kommen bei mir nicht in die engere Wahl. Schon alleine, wegen der Paketproblematiken und nebenbei auch der Tatsache, das diese zudem auch noch den größten Fokus bieten.

Mein Ziel ist halt die größte Sicherheit out of the Box zu haben ohne zuviel Kompromisse eingehen zu müssen.

Schreibe:
Wie bitte?

Spreche:
Hä?

Welche Problematiken meinst Du?

Bitte entschuldige die Frage, ich bin erst seit 2003 auf Debian unterwegs.

EDIT:

Du kannst Dir LFS zur Brust nehmen.
(Das ist dann eine Lebensaufgabe, wenn Du nichts anderes zu tun hast)

Arch beispielsweise aktualisiert sich ständig.
(Du hast also fast jeden Tag was zum spielen)

Debian stable:
(Du hast ab und an ein Sicherheitsupdate, und, wenn eine neue Version fertig ist, ein Systemupdate - boah, wie langweilig)

Wenn Dir bei Debian was zu alt ist, kannst Du via pinning neuere Software installieren. Wenn zu viel alt ist gehst Du auf testing oder sid (dann bist so weit wie bei Arch). Das mach ich manchmal, wenn der Zyklus extrem lange wird.

Für mich: ich will möglichst wenig Arbeit mit dem OS haben, das ist nur Mittel zum Zweck.

Für SIcherheit kannst und musst Du auf jeder Distri selber sorgen, egal welche. Vorteil bei Debian ist für mich auch, dass sehr viel Software quasi mit geliefert wird, ohne dass ich danach suchen muss.

1 „Gefällt mir“

Na, mal nicht übertreiben ;). Arch ist im Gegensatz zu testing immer noch ne andre Hausnummer. Sid, ja, eher…aber nicht testing.

Und ja, mit Backports und Fasttrack lässt sich an stable schon einges herauskitzeln. Und bei testing mit testing-security repo die sicherheitspatch problematik von testing etwas entschärfen.

Also alles machbar und kein Grund, wie du ja sagst, von debian die Finger zu lassen.

Wie immer muss ich auch jetzt wieder SpiralLinux erwähnen. Das ist pures Debian mit vielem von dem oben erwähnten bereits drin.

nach dem freeze steht beides … in sid sind selbst gebaute Probleme schneller behoben. Arch ist immer aktueller, da gebe ich Dir natürlich Recht.

Zunächst wird in der Headline die Frage gestellt, welches Linux nach Meinung der Community aus Perpektive der Sicherheit gewählt werden sollte. Zumindest liest sich die Überschrieft für mich genau so.

Dann werden, wie auch von @audofriemler erwähnt, diverse Distributionen aufgezählt, die angeblich alle irgendwelche Probleme hätten.
Das suggeriert, das man jetzt irgendwie was ausserhalb der genannten finden müßte.
In der Aufzählung ist dann ganz zufällig diejenige Distribution enthalten, die im Sinne der Fragestellung aus vielen Gründen als die in der Gesamtschau geeignetste Distribution genannt werden müßte.

In der Folge werden dann allerhand Distributionen aufgezählt, die zwar allesamt ihre Daseinsberechtigung, Stärken und ggfs. Alleinstellungsmerkmale haben, im Sinne der Fragestellung jedoch entweder lediglich gleiches Niveau haben oder schlicht nicht relevant sind.

Welchen Sinn machen diese Vorabbewertungen? Die Frage stellt sich für mich, da zu den Problematisierungen keinerlei konkrete Sachverhalte genannt werden.

Es gab kürzlich einen ähnlichen Post, in dem nebulös auf lange zurückliegende und aufgeblasene Sachverhalte Bezug genommen wurde (dabei wurde ganz unschuldig gefragt, ob die immer noch nach Hause senden (was sie so nie gemacht haben)).

Ungeachtet dessen kann ich inhaltlich nur @B3rnd beipflichten.

Zusammenfassend könnte man die Frage wie folgt beantworten:
Es gibt hier nichts zu sehen, gehen sie weiter.

Im Sinne der Fragestellungstellung kann man sicherlich alle verwenden.
Will man eine Distribution, die schlicht nichts macht und sendet (solange man nichts beauftragt), so nimmt man Debian GNU/Linux.
openSUSE ist aber gerade auf Notebooks auch sehr zu empfehlen, schaut aber gerne auch mal zu Hause nach ob es neues gibt.

2 „Gefällt mir“

Naja, das ist dann eher privacy und nicht security.
Daher hast du zur Fragestellung auch nicht wirklich was beigetragen, denke ich

@AlphaElwedritsch Das genau ist eben der Beitrag und liegt schlicht daran, dass es bei den genannten Distributionen diesbzgl. in der Praxis nach meiner Auffassung keinen nennenswerten Unterschied gibt.

Es bleibt also nur ein ggfs. bestehender Unterschied bei der Privacy.
Den Aspekt verorte ich im Gegensatz zu denen, die hier gerne scharf trennen, als durchaus wichtig und auch Teil meiner Sicherheit.

1 „Gefällt mir“

Wo habe ich diverse Distributionen aufgezählt, die angeblich irgendwelche Probleme hätten?

Das war meine Antwort auf die Ursprungsfrage:

Ursprünglich wollte ich eigentlich nur über die „Paketproblematiken“ der „Debian, Ubuntu und dessen Abkömmlinge“ Distributionen informiert werden. Vielleicht kann mir das @Bramdal erklären.

Nochmal meine beschiedene Meinung zu dem Thema:

Man kann Rolling Release benutzen, ist aber je nach Konfiguration regelmäßig damit beschäftigt das Ding aktuell und sicher zu halten. Darum MEINE Entscheidung dagegen. Ich habe die Zeit nicht. Wenn man mal eine Zeit schlampt, wird das alles noch viel unsicherer als jedes LTS mit updates. Man verzichtet bei einem Stable Release auf den letzten Schrei, hat aber deutlich weniger Arbeit. Welche Distri, das ist dann eine Geschmacks- und Vertrauensfrage. Linux-Hardening ist bei jeder Distri möglich.

Wer es wirklich ernst meint nutzt Qubes. Wie praktisch das im Alltag ist weiß ich nicht.

@audofriemler Hier liegt wahrscheinlich ein Mißverständnis vor:

Der TE hatte von Problemen geschrieben, worauf in deinem Post die Frage folgte, welche Probleme genau gemeint sind.
Genau darauf habe ich mich bezogen. Also das auch deinerseits, ebenso wie von mir keine Probleme wie im Kontext des TE genannt erkannt wurden.
Wenn ich die Zeilen falsch interpretiert habe, nehme ich den Bezug auf @audofriemler natürlich gerne zurück.

Der abschliessenden Meinung zum Thema kann ich mich voll und ganz anschliessen. So ähnlich meine ich das auch.

Ich bis vor kurzem auch nicht, aber es gab letztes Jahr einen Vorfall (3CX Breach). Es wurden gezielt Programmierer mit Bezug zu Linux angesprochen und ihnen eine präparierte pdf-Datei geschickt.

@media-floppy: Interessante Lektüre. ZIP-Archive können auch unter Linux gefährlich sein, aber meiner Erinnerung nach wurde das „Sonderzeichen-im Dateinamen-Problem“ in libzip (deshalb?) weggepatcht.

@Bramdal: Deine ganzen Erwägungen sind wenig fundiert und Zeitverschwendung. Nimm die Distro, die Dir gefällt. Am besten eine einsteigerfreundliche, damit Du Dich nicht übernimmst. Auch unter Linux sitzt in 99,99% der Fälle das Sicherheitsrisiko VOR dem Computer.

Wenn es wirklich ernst ist, kommen nur Qubes, Whonix oder Tails in Frage. Mit denen wirst Du aber nicht glücklich.

5 „Gefällt mir“

Ich sehe es im Wesentlichen genauso wie die Vorposter: Die „normalen“ Distros lassen sich nicht sinnvoll aufgrund solch allgemeiner Anforderungen als „sicherer“ oder „weniger sicher“ klassifizieren. Im Prinzip musst du dich bei jeder Distro mit dem System umfassend auseinandersetzen, Schwachstellen (auf Konfigurationsebene) identifizieren und soweit möglich beseitigen. Dazu muss man sich aber eine ganz konkrete Distro in einer ganz konkreten Version vornehmen und gegen diese ganz konkrete Angriffsszenarien definieren.

Alternativ nimmst du eine Distro, die ganz konsequent auf Sicherheit ausgerichtet ist (z. B. die von ilu im Vorpost genannten). Ob du damit aber deine Alltagsaufgaben absolviert bekommst, ist mindestens unklar.

Wenn du nicht einmal die Art und das Level der Angreifer definierst, sind Empfehlungen für Schutzmaßnahmen (hier: die Wahl der Distro unter Sicherheitsaspekten) ziemlich sinnlos.

Medium- und Lowlevel-Angreifer haben i.d.R. keine Linux-User im Visier bzw. beschränken sich darauf, auf externen Quellen bösartige Programme zur manuellen Installation durch den User anzubieten (Sicherheitslücke ist hier zu annähernd 100 % der User, ein normales OS kann dagegen nicht schützen).

Einem Highlevel Angreifer (potenter kommerzieller Krimineller oder staatliche Institution) hingegen ist vollkommen egal, welche Distro du verwendest, der schneidet seinen Angriffsplan konkret auf dich zu und sucht sich dafür passende Lücken und Angriffsvektoren, ggf. auch unter Zuhilfenahme von 0-Day-Exploits. Wenn das dein Angriffsszenario ist, sind normale Distros ohnehin keine Option.

Ganz generell: Wenn du das von dir verwendete System nicht verstehst und beherrscht, ist das eine erhebliche Sicherheitslücke - vermutlich sogar die entscheidende.

4 „Gefällt mir“

Secureblue

Ja ist immutable, aber das Modell macht eben einfach Sinn. Gib ihm noch ne Chance.

SELinux wird nur für server und systemapps verwendet, die Nutzerapps und Dateien sind komplett ungeschützt. Fedora hat deswegen eine „SELinux Confined Users SIG“ (special interest group)

Bei discussion.fedoraproject.org kann man mit dem Tag oder in den Threads auch Hilfe bekommen.

GNOME oder KDE, alle anderen Desktops sind momentan nicht zu empfehlen. Es soll wohl schon ziemlich gut funktionieren, auch wenn meine eigenen Erfahrungen nur einen schwarzen Bildschirm gebracht haben.

SeLinux confined users bringt ziemlich viel, zb Zwischenablagenzugriff nur für Apps die manuell eingefügt bekommen, ohne Leseberechtigung. Es ersetzt quasi auch Flatpak, was durch zahlreiche Build Environments komplett unconfined läuft und ausschließlich der Sandbox vertraut.

Flatpak ist also leider recht schwierig.

Secureblue ist nicht zu vergleichen mit GrapheneOS, auch weil der Haupt Entwickler alles blockiert, löscht oder sogar bannt was mit Nutzbarkeits-verbesserungen zu tun hat.

Wenn ich die Zeit finde mache ich ein eigenes Repository mit Ergänzungen, um es gut Nutzbar zu machen.

Schau dir auch mal Bubblejail an, funktioniert schon gut und hat sogar ein GUI.

Opensuse verwendet mWn Apparmor.

OpenSUSE Tumbleweed Fedora Arch Ubuntu Ubuntu LTS Debian
Aktuelle Pakete? ja (rolling) ja (Release alle 6 Monate) ja (rolling) ja (Release alle 6 Monate) nein (Rückportierung von Sicherheitspatches) nein (Rückportierung von Sicherheitspatches)
Security Module? AppArmor SELinux nein (DIY) AppArmor AppArmor AppArmor
Unterstützt Secure Boot? ja ja nein (DIY) ja ja ja
Wayland als Display Server? ja (KDE/GNOME) ja (KDE/GNOME) ja (KDE/GNOME) ja (KDE/GNOME) ja (KDE/GNOME) ja (KDE/GNOME)
Full Disk Encryption als Option im Installer? ja ja ja ja ja ja
Sandboxed Apps? ja (Flatpak oder Snap) ja (Flatpak*) ja (Flatpak*) ja (Flatpak oder Snap) ja (Flatpak oder Snap) ja (Flatpak oder Snap)

*Snap benötigt AppArmor für das Sandboxing. Das heißt, man kann zwar Snaps auf Fedora/Arch installieren aber eben erst mal ohne das Sandboxing.

Also wie man sieht, sind die Unterschiede nicht so gravierend. Ubuntu LTS und Debian haben alte Pakete und müssen Sicherheitspatches von neueren Paketen rückportieren - das ist natürlich weniger sicher, aber der Preis dafür wenn man eine möglichst stabile (unveränderliche) Distro will.

Arch hat von alleine weder AppArmor noch SELinux aber man kann das nachinstallieren, ist aber Extra-Aufwand den wohl die wenigsten haben wollen.

2 „Gefällt mir“

Arch ist halt eine Do-it-yourself-Distro. Die Installation von AppArmor ist aber kein Problem. Bei SELinux sieht das allerdings etwas anders aus.

Wenn man sich schon ein bisschen mit AppArmor auskennt, sollte man sich vielleicht auch https://github.com/roddhjav/apparmor.d anschauen.

Ansonsten steht auch Firejail für alle Distros zur Verfügung.

Und systemd-Dienste können auch oft noch gehärtet werden. systemd stellt ja umfangreiche Sandboxing-Möglichkeiten zur Verfügung, die leider noch zu wenig genutzt werden. Fedora hat diesbezüglich Verbesserungen angekündigt, die auch in Upstream landen sollen. Man kann aber auch selbst Hand anlegen, siehe z.B. hier.

@Seppl

Schau dir auch mal Bubblejail an, funktioniert schon gut und hat sogar ein GUI.

Ich hatte in dem anderen Thread die Frage gestellt, wie Bubblejail sicherstellt, dass Anwendungen gesandboxed ausgeführt werden. Da du Bubblejail offenbar verwendest, wäre ich dir dankbar, wenn du das kurz erklären könntest.

1 „Gefällt mir“

Oh je…Sorry Das sind ja Alles interlektuell verdrehte „Nerdantworten“ mit denen kaum jemand irgendwas Anfangen kann…

Brauchst du auch nicht
Hau dir das Linux deiner Wahl auf die Kiste und gut ist.
Alles andere sind die restlichen 1% für die du dich in Ruhe einlesen kannst, wenn du willst und dich dann entscheiden kannst ob du es umsetzen willst oder nicht.
Aber man muss sich davon nicht verrückt machen lassen. Kann es sogar einfach sein lassen…

2 „Gefällt mir“

Was heißt Nerdantworten? Linux ist anders als Windows, und man muss sich damit schon beschäftigen, wenn man einen Wechsel plant. Und eine einfache Antwort, welche Distro nun „sicherer“ ist, gibt es nicht, weil da mehrere Aspekte zu berücksichtigen sind.

Eine Antwort, die z.B. meint, dass eine Distribution sicherer ist, weil sie standardmäßig mit AppArmor daherkommt, ist nicht sehr zielführend, wenn AppArmor bei anderen Distros leicht nachinstalliert werden kann.

Und es kommen - wie in anderen Beiträgen hier schon angemerkt - andere Aspekte hinzu. Eine Rolling Distro z.B. hat unter Sicherheitsapekten ihre Vorteile, ist aber für Anfänger eher problematisch. Und manche Leute wollen partout keine Distro mit Systemd verwenden, obwohl dieses Init-System als einziges Dienste umfänglich sandboxen kann.

Dass das für einen Anfänger schwer zu überblicken ist, kann ich verstehen. Deshalb sagte ich ja, dass man sich damit beschäftigen muss, da pauschale Aussagen unterkomplex sind. Das hat mit Nerdantworten nichts zu tun.

Davon sollte man sich aber auch nicht abschrecken lassen. Wer sich z.B. Linux Mint installiert, regelmäßig updatet, nur Pakete aus den offiziellen Repositories installiert und nicht wild auf alles klickt, was einem über den Weg läuft, ist schon ziemlich sicher und kann Erfahrungen sammeln, bevor man den nächsten Schritt wagt.

4 „Gefällt mir“