Normale Ansicht

Es gibt neue verfügbare Artikel. Klicken Sie, um die Seite zu aktualisieren.
Ältere BeiträgeHaupt-Feeds

Debian 12 »Bookworm«

✇Koflers Blog
Von: Michael Kofler
17. Juni 2023 um 18:33

Debian 12 »Bookworm« vervollständigt den Distributionsreigen der letzten Monate. Debian wird ca. alle zwei Jahre aktualisiert. Die nun präsentierte Version zeichnet sich vor allem durch Software-Updates und ein paar technische Neuerungen aus. Erfreulich ist, dass die für den Betrieb von Netzwerk-Adaptern und anderen Hardware-Komponenten erforderliche Firmware-Dateien nun gleich mitgeliefert wird. Diese pragmatische Entscheidung des Debian-Entwicklerteams erleichtert die Installation von Debian auf aktuellen Notebooks. Davon abgesehen hat sich am Installations-Programm nur wenig geändert. Wenn man die Logik der Dialoge einmal kennt bzw. verstanden hat, lässt sich das Programm aber sehr effizient bedienen. Selbst komplexe Setups inklusive LVM, RAID und Verschlüsselung sind kein Problem.

Das Debian-Installationsprogramm ist optisch keine Glanzleistung, funktioniert dafür aber ausgezeichnet

Während der Installation haben Sie die Wahl zwischen mehreren Desktop-Systemen (Gnome, KDE, XFCE etc.). Ich habe meine Tests mit Gnome durchgeführt.

Debian 12 mit Gnome-43-Desktop

Versionsnummern

Basis             Desktop             Programmierung   Server
---------------   ------------------  ---------------  --------------
Kernel      6.1   Gnome          43   bash        5.2   Apache     2.4
glibc      2.36   Gimp         2.10   docker.io 20.10   CUPS       2.4
X-Server   21.1   LibreOffice   7.4   gcc        12.2   MariaDB  10.11
Wayland    1.21                       git        2.39   OpenSSH    9.2
Mesa       22.3                       Java         17   qemu/KVM   7.2
Systemd     252                       PHP         8.2   Postfix    3.7
NetworkMan 1.42                       Podman      4.3   Samba     4.17
GRUB       2.06                       Python     3.11

Generell ist festzustellen, dass die Versionsnummern — eigentlich untypisch für Debian — erfreulich aktuell sind. Insbesondere gilt dies für MariaDB und PHP. Gerade bei MariaDB liefern die meisten anderen Distributionen Uralt-Versionen aus. Debian macht es hier besser! (MySQL fehlt dafür.)

Plattformen (Architekturen)

Debian 12 steht (unverändert im Vergleich zu Debian 11) für die folgenden Plattformen zur Verfügung:

  • Standard-PCs: i386 und amd64
  • ARM: arm64, armhf, armel
  • MIPS: mipsel, mips64el
  • PowerPC: ppc64el
  • S390X: s390x

Weitere Details zur Hardware-Unterstützung können Sie hier nachlesen:

Technische Neuerungen

Firmware-Dateien: Ich habe in der Einleitung darauf hingewiesen, dass die offiziellen Installationsmedien nun auch Firmware-Dateien enthalten. Hinter den Kulissen wurde für diese Dateien die neue Paketquelle non-free-firmware geschaffen, die automatisch aktiv ist.

Logging: Der traditionelle Syslog-Dämon rsyslogd wird standardmäßig nicht mehr installiert. Stattdessen erfolgt das Logging nun über das Journal (eine systemd-Komponente). Die Logging-Daten werden dauerhaft in binärer Form gespeichert (Verzeichnis /var/log/journal) und können mit journalctl ausgewertet werden. Der wichtigste Unterschied im Vergleich zu früher besteht darin, dass diverse Logging-Dateien (z.B. /var/log/mail*) nicht mehr zur Verfügung stehen. Abhilfe schafft gegebenenfalls die Installation von rsyslog. Das Paket befindet sich weiter in den Paketquellen.

Keys für externe Paketquellen: apt-key ist veraltet. Beim Einrichten von neuen Paketquellen muss nun ein Schlüssel in /etc/apt/trusted.gpg.d hinterlegt werden. Auf diesen Schlüssel muss in /apt/sources.list.d/*.conf Bezug genommen werden. Das neue Prozedere ist sicherer, aber leider auch wesentlich umständlicher. Hintergründen können Sie z.B. in der Debian-Dokumentation oder auf syslog.me nachlesen.

Keine anderen Betriebssysteme im GRUB-Menü: Während der Installation verzichtet Debian so wie aktuelle Ubuntu-Versionen darauf, das Script os-prober auszuführen und alle anderen auf den SSDs/Festplatten gefundenen Betriebssysteme in das GRUB-Menü einzubauen. Dieser Schritt ist nicht nur zeitaufwändig, sondern auch überflüssig, weil Sie das zu startende Betriebssystem ja auch über ein EFI-Menü auswählen können. Sollte dabei etwas schief gehen, ist es ganz einfach, den os-prober zu reaktivieren. Dazu fügen Sie die folgende Zeile am Ende von /etc/default/grub ein:

# in /etc/default/grub
GRUB_DISABLE_OS_PROBER=false

Es geht nichts über eine doppelte Verneinung ;-)

Anschließend erzeugen Sie grub.cfg mit einem Aufruf von update-grub neu.

Wartungszeitraum

Anders als bei Ubuntu sind die Angaben zum Wartungszeitraum von Debian ein wenig vage. Grundsätzlich gibt es bei Debian ca. alle zwei Jahre ein neues Release. Das jeweils vorige Release wird dann noch ca. ein Jahr mit Updates versorgt, womit sich ein offizieller Wartungszeitraum von ca. drei Jahren ergibt.

Ein Team von Freiwilligen versucht Debian für die Plattformen i386, amd64, arm64 und armhf über den offiziellen Wartungszeitraum hinaus insgesamt fünf Jahre mit kritischen Sicherheits-Updates zu versorgen (Projekt Debian LTS).

»Bitte legen Sie das Medium mit dem Namen ‚Debian GNU/Linux‘ ein«

Der Standardinstaller hinterlässt in /etc/apt/sources.list eine Zeile mit dem Installationsmedium (USB-Stick oder DVD). Wenn Sie nach der Installation ein Paket installieren wollen (apt install <name>), will apt, dass Sie das Installationsmedium wieder einlegen, anstatt das betreffende Paket einfach herunterzuladen. Das ist (schon seit vielen Jahren) nicht mehr zeitgemäß.

Abhilfe: Öffnen Sie /etc/apt/sources.list mit einem Editor und entfernen Sie die Zeile, die mit deb cdrom beginnt.

Fazit

Debian ist mit »Bookworm« ein grundsolides, überdurchschnittlich modernes Release gelungen. Snaps und Flatpaks sind optional möglich, aber nicht erforderlich. Vielleicht ist das altmodisch, aber ich sehe es als Pluspunkt.

Gerade in Zeiten, wo dem Linux-Desktop ein rauer Wind entgegen weht (Red Hat will keine LibreOffice-Pakete mehr erstellen, SUSE überhaupt keine kommerzielle Desktop-Distribution mehr anbieten usw.) ist es großartig, dass Debian nicht nur am Server brilliert, sondern auch ein gutes Angebot für Desktop-User darstellt.

Ich habe es in meinen früheren Debian-Artikel schon erwähnt, aber man kann es nicht oft genug sagen: Debian ist das Fundament für eine große Palette weiterer Distributionen: Ubuntu und all seine Varianten, Kali Linux, Raspberry Pi OS usw. Die Linux-Community kann dem Debian-Team gar nicht dankbar genug sein, dass es dieses Fundament immer wieder neu zusammenstellt!

Quellen/Links

Andere Tests

Firmware- und Bootguard-Schlüssel von MSI veröffentlicht

✇Linux-Magazin
Von: Moritz Tremmel
09. Mai 2023 um 07:50

Eine Ransomwaregruppe hat nach einem Hack etliche interne Daten von MSI veröffentlicht. Darunter auch private Schlüssel zum Signieren.

Bei einem Ransomware-Angriff auf den Hardware-Hersteller MSI haben die Angreifer auch dessen Bootguard-OEM- und Firmware-Signatur-Schlüssel erbeutet und nun veröffentlicht, wie die Sicherheitsfirma Binarly berichtet.

Bei der Analyse der geleakten Daten entdeckte Binarly etliche Schlüssel zum Signieren von Firmware sowie den OEM-Schlüssel für Intels Bootguard. Die Sicherheitsfirma dokumentiert eine Liste der betroffenen Geräte mitsamt einer Liste der öffentlichen Firmware-Signier- sowie Bootguard-Schlüssel auf Github.

Die privaten Schlüssel sind in den durch die Ransomwaregruppe Money Message geleakten Daten ebenfalls enthalten. Die Untersuchung des Datenlecks dauert laut Binarly jedoch noch an.

Mit den geleakten Schlüsseln könnten Angreifer signierte Firmware-Updates verteilen, die scheinbar von MSI stammen, jedoch Schadcode enthalten. Bereits im April warnte MSI seine Kunden vor der Installation von davor Firmware- und Bios-Updates aus anderen Quellen als der offiziellen MSI-Webseite herunterzuladen.

Ähnliches gilt für Intels Bootguard auf der betroffenen Hardware. Die Technik soll unautorisierte Veränderungen an Hardware und Bios beim Bootvorgang erkennen und so einen sicheren Bootprozess ermöglichen. Mit der Veröffentlichung der privaten Schlüssel dürfte dies zumindest auf Hardware des Herstellers MSI nicht mehr gegeben sein.

Offensichtlich hat MSI die zur Gewährleistung der Firmware- und Bootguard-Sicherheit notwendigen privaten Schlüssel nur unzureichend geschützt, da die Angreifer die Schlüssel wohl über das Internet aus dem Netzwerk des Herstellers exfiltrieren konnten. Durch die geleakten Schlüssel seien auch Geräte anderer Hersteller wie Lenovo, Intel oder Supermicro betroffen, schreibt Binarly auf Twitter.

Der Beitrag Firmware- und Bootguard-Schlüssel von MSI veröffentlicht erschien zuerst auf Linux-Magazin.

Debian ermöglicht Closed-Source-Firmware

✇Linux-Magazin
Von: Ulrich Bantle
05. Oktober 2022 um 08:30

Nach einer längeren Entscheidungsphase hat sich das Debian-Projekt dafür ausgesprochen, Closed-Source-Firmware in die offizielle Distribution aufzunehmen.

Die Abstimmung über das Thema war nötig geworden, nachdem es für viele Geräte inzwischen Freie Treiber gibt, die Firmware aber weiterhin Closed-Source ist und entsprechende Abhängigkeiten mitbringen. Die Firmware-Updates sind unter anderem auch für Security-Fixes nötig.

Es standen diverse Vorschläge zum Thema zur Abstimmung, von der kompletten Ablehnung bis zur Zustimmung. Entschieden haben sich die Debian-Mitglieder für die Option 5, die den  Debian Social Contract in Punkt 5 um den Satz erweitert: „Die offiziellen Debian-Medien können Firmware enthalten, die sonst nicht Teil des Debian-Systems ist, um die Verwendung von Debian mit Hardware zu ermöglichen, die solche Firmware benötigt.“

Der Vorschlag besagt, dass künftig nicht-freie Firmware-Pakete aus dem “non-free-firmware”-Abschnitt des Debian-Archivs in offiziellen Medien (Installer-Images und Live-Images) aufgenommen werden. Die so enthaltenen Firmware-Binärdateien werden dann standardmäßig aktiviert, wenn das System feststellt, dass sie benötigt werden, aber wenn möglich, sollen Möglichkeiten für die Benutzer vorgesehen sein, dies beim Booten zu deaktivieren, etwa via Boot-Menü-Option, Kernel-Befehlszeile oder ähnliches.

Wenn das Installations-/Live-System läuft, sollen dem Benutzer Informationen darüber zur Verfügung gestellt werden, welche Firmware geladen wurde (sowohl freie als auch unfreie), und diese Informationen sollen auch auf dem Zielsystem gespeichert sein, damit User sie später finden können, heißt es im gewählten Vorschlag. Sollte sich herausstellen, dass unfreie Firmware notwendig sei, werde das Zielsystem auch so konfiguriert, dass die unfreie Firmware-Komponente standardmäßig in der Datei apt sources.list verwendet werde. Die Benutzer sollten so Sicherheitsaktualisierungen und wichtige Korrekturen für Firmware-Binärdateien wie jede andere installierte Software erhalten.

Das Debian-Projekt hat nun einige Aufgabe vor sich, um diese Änderungen umzusetzen. Wie der frühere Projektleiter Steve McIntyre schreibt, sollte die Arbeit noch idealerweise vor dem Freeze für Debian 12 (Bookworm), das im Januar 2023 erscheinen soll, abgeschlossen sein.

Der Beitrag Debian ermöglicht Closed-Source-Firmware erschien zuerst auf Linux-Magazin.

Fwupd: Zertifizierungsprogramm und neue Version

✇Linux-Magazin
Von: Tim Schürmann
29. April 2022 um 10:47

Das Tool Fwupd aktualisiert unter Linux die Firmware verschiedener Geräte. Die Entwickler möchten jetzt mit einem Zertifikat das Leben von Geräteherstellern und OEMs erleichtern. Obendrein gibt es noch eine neue Fwupd-Version, die weitere Hardware unterstützt.

Damit Hardwarehersteller beim Zusammenbau ihrer Geräte direkt Komponenten auswählen können, die Fwupd unterstützt, hat das Entwicklerteam eine Zertifizierung ins Leben gerufen. Mit dem Titel Fwupd Friendly Firmware dürfen sich alle Hardwarekomponenten beziehungsweise Chips schmücken, die bereits Unterstützung durch Fwupd Plug-ins erhalten. Eine Datenbank mit entsprechenden Komponenten führt das Fwupd-Team führt auf seiner Website.

Des Weiteren liegt Fwupd in der Version 1.8 vor. Unter anderem kann man über den Befehl “fwupdmgr install” eine ganz spezifische Firmware-Version installieren. Das Tool startet zudem nach BCM Updates das BCM neu und zeigt standardmäßig die Seriennummer der Geräte an. “libfwupdplugin” spendierten die Entwickler coSWID- und uSWID-Parser, was wiederum eine erste Unterstützung von SboM ermöglicht.

Abschließend unterstützt Fwupd 1.8 viele weitere Hardwarekomponenten, darunter:

  •    CH341A SPI Programmer
  •     Corsair Sabre RGB PRO und Slipstream USB Receiver
  •     Genesys GL3521 und GL3590 Hubs
  •     Google Servo Dock
  •     Logitech M550, M650 und K650
  •     Weitere ELAN Fingerabdrucksensoren
  •     Weitere integrierte Wacom-Panels
  •     Weitere NovaCustom-Geräte
  •     Weitere StaLabs StarLite-Geräte
  •     Weitere Tuxedo-Laptops
  •     Quectel EM05
  •     FlatFrog devices
  •     System76 launch_lite_1

 

Sämtliche Neuerungen inklusive der Fehlerkorrekturen liefern die Release Notes.

Der Beitrag Fwupd: Zertifizierungsprogramm und neue Version erschien zuerst auf Linux-Magazin.

Debian bekommt Probleme mit proprietärer Firmware

✇Linux-Magazin
Von: Sebastian Grüner / Golem.de
20. April 2022 um 07:03

Ein langjähriger Debian-Entwickler glaubt, dass ohne proprietäre Firmware in der Linux-Distribution nicht mehr viel geht.

Eines der wohl wichtigsten Prinzipien der Debian-Community ist es, dass die erstellte Linux-Distribution und Software des Projekts komplett freie Software ist. Die dafür festgelegten Richtlinien (DFSG) sind sogar Teil des eigenen Gesellschaftsvertrags, der eine Art Verfassung für das gesamte Projekt ist. Der langjährige Debian-Entwickler Steve McIntyre schreibt nun aber in seinem Blog, dass das Projekt diesen Standpunkt zumindest für Firmware-Pakete überdenken müsste.

McIntyre ist seit 1996 an dem Debian-Projekt beteiligt, fungierte als Projektleiter und ist an den Arbeiten des Firmware-Supports sowie für den Debian-Installer beteiligt. Der Entwickler schreibt: “Meiner Meinung nach ist die Art und Weise, wie wir mit (unfreier) Firmware in Debian umgehen, ein Chaos, und das schadet vielen unserer Benutzer jeden Tag.”

Dass dem so ist, ist wohl schlicht der generellen Entwicklung der IT geschuldet. Noch vor etwa einem Jahrzehnt sei Firmware höchstens für WLAN-Adapter notwendig gewesen, so McIntyre. Inzwischen werde derartiger Code aber auch für GPUs, Sound-Ausgaben und auch für die Haupt-CPU eines Systems selbst benötigt. In den allermeisten Fällen ist dieser Code proprietär und wird den Debian-Richtlinien folgend nicht standardmäßig mit dem System ausgeliefert.

McIntyre schreibt dazu: “Lange Zeit haben wir so getan, als ob die Unterstützung und Einbindung von (unfreier) Firmware auf Debian-Systemen nicht notwendig sei. Wir wollen unseren Benutzern keine (unfreie) Firmware zur Verfügung stellen, und in einer idealen Welt würden wir das auch nicht müssen. Dies ist jedoch ganz klar kein vernünftiger Weg mehr, wenn wir versuchen, viele gängige aktuelle Hardware zu unterstützen.”

Als mögliche nächste Schritte schlägt McIntyre vor, die bisher inoffiziellen Debian-Abbilder mit nicht-freier Firmware wie die offiziellen zu behandeln oder direkt nur noch offizielle Images mit proprietärer Firmware zu verteilen. Möglich wäre laut dem Entwickler aber auch, die Firmware-Komponenten separat zum Rest der proprietären Software zu pflegen und etwa in ein eigenes Repository auszulagern. Über eine spezielle Option könnte dann die nicht freie Software in den offiziellen Abbildern genutzt werden.

Über die von McIntyre vorgestellten Optionen will der Entwickler in einer Art Basisabstimmung (General Resolution) des Debian-Projekts entscheiden lassen. Erhält eine der Optionen eine Mehrheit, dürfte diese umgesetzt werden.

Der Beitrag Debian bekommt Probleme mit proprietärer Firmware erschien zuerst auf Linux-Magazin.

❌
❌