https://www.bitblokes.de/2016/02/linux-mint-gehackt-iso-dateien-ueberpruefen-moegliche-backdoor/

Falls sich jemand gerade vor kurzem Linux Mint gezogen haben sollte.

Interessant wäre noch, worin diese "Modifikation" bestanden hat :confused:

Kann ich Dir leider nicht sagen, die Seite von Linux Mint ist scheinbar derzeit auch down.

Äh, steht doch im Artikel? tl;dr? ;)


Auf der gehackten Version von Linux Mint läuft TSUNAMI (Downloader/IRC Bot Backdoor).

Danke, hab ich nicht gesehen - habe zu lesen aufgehört, warum Repos NICHT betroffen sind ;)

Die Leute bei Linux Mint nehmen Security generell nicht ernst, insofern ist dieser Hack keine große Überraschung.

Beispiele:
Standardmäßig tut der mint-updater nur einen Bruchteil der Pakete updaten, vieles wird nie gepatcht. Um ein tatsächlich sicheres System zu bekommen muss man unter den mint-updater Einstellungen > Ebenen alles auswählen. Das ist laut Aussage der Entwickler so, weil man "Stabilität" über "Sicherheit" stellt bei Linux Mint. :uroll:
Der Screensaver für Mate und Cinnamon basiert auf gnome-screensaver, der securitytechnisch ein Wahnsinn ist. Manchmal passiert es auch, dass er nicht an geht wenn man den Laptop zu macht und selbst dann ist er unsicher.
https://www.jwz.org/blog/2015/04/i-told-you-so-again/

Scheinbar hat jemand auch Root-Rechte auf ihren Servern erlangt: https://www.reddit.com/r/linux/comments/46tdcj/beware_of_hacked_isos_if_you_downloaded_linux/d07tipl

Ich will jetzt nicht sagen, dass das absehbar war, aber Mint kam mir auch nie wie eine besonders seriöse Distribution vor. War nur so ein Bauchgefühl, weil ich mich nie damit näher beschäftigt habe, aber scheinbar war das auch nicht so ganz falsch.

Kanns kaum erwarten bis sie veröffentlichen auf welche Art und Weise die Forumpasswörter gespeichert waren. :whistle:

Naja, Wordpress und co. haben ja mit der Distribution an sich weniger zu tun. Man kann wenig bis gar nicht von der Webseite, Forum, Webserver und dem ganzen drum und drann auf die Distribution selbst und die Repository schließen. Es wäre aber schon Sinnvoll das Sicherheitsrelevante Teile statisch und von einem unabhängigen Server ausgeliefert werden und nicht über Gurkensoftware wie es Wordpress ist.

Man kann wenig bis gar nicht von der Webseite, Forum, Webserver und dem ganzen drum und drann auf die Distribution selbst und die Repository schließen.

Eine separat mit TLS gesicherte Webseite und dort hinterlegte Prüfsummen wären jedenfalls nicht zu viel verlangt gewesen.

Bei Debian sind die Prüfsummen selbst z.B. mit PGP signiert: https://www.debian.org/CD/verify

Die Leute bei Linux Mint nehmen Security generell nicht ernst, insofern ist dieser Hack keine große Überraschung.

Beispiele:
Standardmäßig tut der mint-updater nur einen Bruchteil der Pakete updaten, vieles wird nie gepatcht. Um ein tatsächlich sicheres System zu bekommen muss man unter den mint-updater Einstellungen > Ebenen alles auswählen. Das ist laut Aussage der Entwickler so, weil man "Stabilität" über "Sicherheit" stellt bei Linux Mint. :uroll:
Der Screensaver für Mate und Cinnamon basiert auf gnome-screensaver, der securitytechnisch ein Wahnsinn ist. Manchmal passiert es auch, dass er nicht an geht wenn man den Laptop zu macht und selbst dann ist er unsicher.
https://www.jwz.org/blog/2015/04/i-told-you-so-again/
Wie jetzt, ich dachte Mint wäre momentan everybody's darling in der Szene?

Wie jetzt, ich dachte Mint wäre momentan everybody's darling in der Szene?

Seit wann? Ich sehe meistens nur Leute, die es benutzen, weil es bei Distrowatch oft auf Platz 1 steht. Viel mehr weiß ich über Mint eigentlich auch nicht.

Wie jetzt, ich dachte Mint wäre momentan everybody's darling in der Szene?
Finde die Optik am schönsten, das war es aber auch - ist ein ähnlicher Hype, wie bei Ubuntu, den ich auch nie verstanden habe ...

Mint Cinnamon/Mate/XFCE sieht halt Windows am ähnlichsten und harmoniert sehr gut auch gerade mit neuerer Grafikhardware. Allerdings finde ich es auch ein wenig langweilig. ;)

Es ist aber einfach benutzerfreundlich zu bedienen, nicht zu abgedreht wie Gnome 3, nicht zu überladen wie KDE (selbst Plasma ist von der Bedienung IMO schrecklich) und einfacher zu modifizieren wie Unity.

Finde die Optik am schönsten, das war es aber auch - ist ein ähnlicher Hype, wie bei Ubuntu, den ich auch nie verstanden habe ...
Och ich kann den Ubuntu Hype schon verstehen. Einfach zu bedienen, nicht zu viele Optionen, aber gerade die wichtigen und auch von der Optik her ist Ubuntu Unity mit am harmonischsten.

Die Zugangsdaten für die MySQL-Datenbank ;D

forums.linuxmint.com pwd
/root/hacked_distros/mint/var/www/forums.linuxmint.com
forums.linuxmint.com cat config.php
<?php
// phpBB 3.0.x auto-generated configuration file
// Do not change anything in this file!
$dbms = 'mysql';
$dbhost = 'localhost';
$dbport = '';
$dbname = 'lms14';
$dbuser = 'lms14';
$dbpasswd = 'upMint';
https://news.ycombinator.com/item?id=11143162

Seit wann? Ich sehe meistens nur Leute, die es benutzen, weil es bei Distrowatch oft auf Platz 1 steht. Viel mehr weiß ich über Mint eigentlich auch nicht.
Na nicht zuletzt hier. Hatte das Gefühl das wurde immer als besseres Ubuntu angepriesen, gerade für Linux-Einsteiger.

Wie jetzt, ich dachte Mint wäre momentan everybody's darling in der Szene?

Nur weil viele es nutzen und mögen, heißt das ja nicht dass es gut oder sicher ist.

Die Zugangsdaten für die MySQL-Datenbank ;D

Naja, wenn der Datenbankserver nur auf localhost lauscht, dann ist das Passwort eigentlich ziemlich egal. Wenn jemand durch den Webserver rein kommt, dann hat er eh Zugriff auf das Passwort egal wie gut das ist.

Nur weil viele es nutzen und mögen, heißt das ja nicht dass es gut oder sicher ist.
Leider, selbst als versierter User hat man ja kaum eine Möglichkeit die Sicherheit eines Beriebssystems zu prüfen - man muss sich mehr oder weniger darauf verlassen, was man vorgesetzt bekommt.

Naja schon etwas. ArchLinux, Debian, CentOS bieten signierte Datenträger und signierte Packages (kA wie das bei Mint ist, schätze die auch, bis auf die Sache mit dem Datenträger).

Da weißt du schon, ob es von der richtigen Quelle kommt.

Ist halt auch die Frage des Wollens. Wir könnten auch alle OpenBSD nutzen, was aber aufgrund der ganzen Checks furchtbar langsam ist im Vergleich. Oder halt CentOS, wo man sich dann aber alle Nase lang mit SELinux rumschlagen muss...

Ist halt auch die Frage des Wollens. Wir könnten auch alle OpenBSD nutzen, was aber aufgrund der ganzen Checks furchtbar langsam ist im Vergleich. Oder halt CentOS, wo man sich dann aber alle Nase lang mit SELinux rumschlagen muss...

Es ist eher so das 99% der User als erstes mal sofort selinux deaktivieren oder nicht enforcen. Genauso wie Apparmor unter Ubuntu. :biggrin:

Ist mir ehrlichgesagt auch zuviel fuzzelige Arbeit. Da gehen andere Sicherheitsmaßnahmen vor, SElinux wäre eher das tüpfelchen auf dem i.

Ich kann schon verstehen, dass manche Leute Cinnamon ganz nett finden, aber Cinnamon gibt es ja nicht nur in Mint. Fedora und Debian bieten es z.B. auch an.

Leider, selbst als versierter User hat man ja kaum eine Möglichkeit die Sicherheit eines Beriebssystems zu prüfen - man muss sich mehr oder weniger darauf verlassen, was man vorgesetzt bekommt.

Eigentlich alle Distributionen würden die Installation von Paketen erst einmal verweigern, wenn die Signatur nicht stimmt. Da muss man schon selbst aktiv werden, wenn man sich darüber hinwegsetzen will.

Hm, das ist ja ne schlechte Nachricht. Wollte eigentlich meinen Office Rechner mit Mint aufsetzen.
Welche andere Distribution ist den "sicherer" und möglichst einfach zu konfigurieren ?

Stanger

Also Mint als Distribution ist ja nicht einmal besonders unsicher. „Nur“ eben die Infrastruktur drum herum. Das ist schon ein Unterschied, aber mich würde das natürlich auch eher abschrecken.

Welche andere Distribution ist den "sicherer" und möglichst einfach zu konfigurieren ?

Wenn man nicht gerade Arch Linux oder Gentoo nimmt, sind eigentlich alle Distributionen quasi gleich einfach. Mint hat da keine besondere Sonderstellung oder so.

Nur eine willkürliche Auswahl: Ubuntu, Fedora, OpenSUSE, Debian

Ok Danke.
Hatte bisher nur Erfahrung vor 10 Jahren und länger mit Debian und der kommerziellen SuSE gemacht. Besonders SuSE war damals noch mit YAST 1 bzw. davor einfach gruselig für nen Windows-Anwender aber da hat sich ja einiges geändert.
Ich meine mal der CCC hat sich über Ubuntu aufgeregt und Mint angepriesen obwohl Mint doch aus Ubuntu Teilen besteht - etwas wiedersprüchlich. Evtl.
hab ich da doch was falsch verstanden :confused:
Mint hab ich mir mal als Live-DVD angeschaut und mir hats halt auf Anhieb gefallen...nur wenn das nicht sicher ist dann kann ich ja gleich meine Daten in eine Cloud laden :eek:

mfg
Stanger

Da weißt du schon, ob es von der richtigen Quelle kommt.
Und wer garantiert mir, dass der gelieferte Hash stimmt? Ich weiß, dass meine Formulierung paranoid ist, wenn man aber ehrlich ist, könnte hier genauso manipuliert worden sein - ist halt keinem aufgefallen.

Ist halt auch die Frage des Wollens. Wir könnten auch alle OpenBSD nutzen, was aber aufgrund der ganzen Checks furchtbar langsam ist im Vergleich. Oder halt CentOS, wo man sich dann aber alle Nase lang mit SELinux rumschlagen muss...
Welche Checks meinst Du genau, bin mit OpenBSD nicht bewandert.
Mit SELinux triffst Du leider ins Schwarze - selbst die Erfahrensten bei uns schalten es meistens ab, da man hier schon wieder eigenes Personal bräuchte, dass sich damit beschäftigt.

Da gehen andere Sicherheitsmaßnahmen vor, SElinux wäre eher das tüpfelchen auf dem i.
Die wären? Wenn noch jemand interessiert ist, könnte man das ja in einem separaten Thread auslagern - einfach mal paar Ansichten/Konzepte durchdiskutieren.

Und wer garantiert mir, dass der gelieferte Hash stimmt? Ich weiß, dass meine Formulierung paranoid ist, wenn man aber ehrlich ist, könnte hier genauso manipuliert worden sein - ist halt keinem aufgefallen.

Darum sagte ich ja signiert... der Hash sagt dir nur ob dein Download korrekt war. Eine Signatur kriegst du nicht so einfach gefälscht. Dazu bräuchtest du den privaten Schlüssel vom Autor.


Welche Checks meinst Du genau, bin mit OpenBSD nicht bewandert.

OpenBSD hat eine handvoll Speicherprüfungen (Überlaufsprüfungen, Stackprotection etc.) zur Laufzeit aktiv. Weiterhin nicht-Ausführbarkeit von bestimmten Speicherbereichen (W^X heißt das)... dies verhindert dann aber auch JIT-Compiler.

Mint hab ich mir mal als Live-DVD angeschaut und mir hats halt auf Anhieb gefallen...nur wenn das nicht sicher ist dann kann ich ja gleich meine Daten in eine Cloud laden :eek:

Von Debian gibt es übrigens auch Live-Medien: http://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/

Jeweils Medien für Mate, GNOME 3, Cinnamon, Xfce, KDE und LXDE sind dabei. Man wird natürlich keine Überraschungen erleben, sind eben die jeweiligen Desktopumgebungen.

Vielleicht der Vollständigkeit halber nochmal der Link zum Überprüfen der Medien: https://www.debian.org/CD/verify

Die meisten Distributionen bieten aber sowieso nicht nur eine Desktopumgebung an. Fedora gibt es z.B. auch mit Cinnamon, Xfce oder KDE. Ich würde die Wahl der Distribution deshalb nicht unbedingt von der Desktopumgebung abhängig machen.

Welche Checks meinst Du genau, bin mit OpenBSD nicht bewandert.OpenBSD setzt verschiedene Maßnahmen ein.
http://www.openbsd.org/security.html
https://en.wikipedia.org/wiki/OpenBSD_security_features
https://de.wikipedia.org/wiki/Address_Space_Layout_Randomization
Mittlerweile ist OpenBSD bei Version 5.8 angelangt, viele Sachen sind schon länger drinne.

Danke für die Links. Werd mir grad mal open SuSE angucken. Bin relativ unsicher was ich jetzt nehmen soll....geht eigentlich nur um meinen Schriftverkehr den ich mit Libre Office bearbeite und surfen noch...das wars dann auch schon. CCC meinte ja die "großen" wie Debian,Red Hat,SuSE würden nicht ganz so gut sein bzgl. ungewünschter Datenübertragung, sprich heimtelefonieren.

Stanger

Darum sagte ich ja signiert... der Hash sagt dir nur ob dein Download korrekt war. Eine Signatur kriegst du nicht so einfach gefälscht. Dazu bräuchtest du den privaten Schlüssel vom Autor.
Okay, da war ich wohl nicht so ganz bei der Sache, sry.

Danke auch für die anderen Erklärungen!

CCC meinte ja die "großen" wie Debian,Red Hat,SuSE würden nicht ganz so gut sein bzgl. ungewünschter Datenübertragung, sprich heimtelefonieren.

Das mit hat groß oder klein relativ wenig zu tun. Ich wüsste jetzt auch nicht, welche Distribution da negativ auffallen sollte.

Ubuntu hat standardmäßig diese Amazon-Suche, aber das gilt ja nicht pauschal auch für alle anderen Distributionen.

Es ist eher so das 99% der User als erstes mal sofort selinux deaktivieren oder nicht enforcen. Genauso wie Apparmor unter Ubuntu. :biggrin:

Ist mir ehrlichgesagt auch zuviel fuzzelige Arbeit. Da gehen andere Sicherheitsmaßnahmen vor, SElinux wäre eher das tüpfelchen auf dem i.
Naja schon etwas. ArchLinux, Debian, CentOS bieten signierte Datenträger und signierte Packages (kA wie das bei Mint ist, schätze die auch, bis auf die Sache mit dem Datenträger).

Da weißt du schon, ob es von der richtigen Quelle kommt.

Ist halt auch die Frage des Wollens. Wir könnten auch alle OpenBSD nutzen, was aber aufgrund der ganzen Checks furchtbar langsam ist im Vergleich. Oder halt CentOS, wo man sich dann aber alle Nase lang mit SELinux rumschlagen muss...
Und wer garantiert mir, dass der gelieferte Hash stimmt? Ich weiß, dass meine Formulierung paranoid ist, wenn man aber ehrlich ist, könnte hier genauso manipuliert worden sein - ist halt keinem aufgefallen.


Welche Checks meinst Du genau, bin mit OpenBSD nicht bewandert.
Mit SELinux triffst Du leider ins Schwarze - selbst die Erfahrensten bei uns schalten es meistens ab, da man hier schon wieder eigenes Personal bräuchte, dass sich damit beschäftigt.


Die wären? Wenn noch jemand interessiert ist, könnte man das ja in einem separaten Thread auslagern - einfach mal paar Ansichten/Konzepte durchdiskutieren.
Es sei an dieser Stelle darauf hingewiesen, dass mit SELinux entweder
a) Der Hack in dieser Form nie erfolgreich gewesen wäre weil man nachdem man die www-data Shell von Wordpress bekommen hat und z.B. durch einen Kernelexploit root geworden ist nochmal SELinux mit dem Kernelexploit killen müsste, um die Kontrolle über den Server zu bekommen.
b) Der Hack deutlich aufwendiger gewesen wäre wegen a), denn: Anleitungen wie man mit Kernelexploits root wird gibts zu finden, das könnte auch ein 15-Jähriger. Wie man SELinux killt jedoch kaum - sowas muss man sich selber erarbeiten.
c) Angenommen der Angreifer war kein Skriptkidde, sondern killt auch SELinux ohne eine Kernel Panic auszulösen: Bis er so weit ist, hat er im Audit Daemon eine halbe Million Alerts getriggert und die zuständigen Admins den Server vom Netz genommen...

So funktioniert Security, wenn man seine Aufgaben macht.

Aber hey, die Leute, die als erstes nach der Installation von CentOS "setenforce 0" eingeben, haben vom Linux Audit Framework und audispd wahrscheinlich auch nie was gehört... :sneak:

Von Debian gibt es übrigens auch Live-Medien: http://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/

Jeweils Medien für Mate, GNOME 3, Cinnamon, Xfce, KDE und LXDE sind dabei. Man wird natürlich keine Überraschungen erleben, sind eben die jeweiligen Desktopumgebungen.

Vielleicht der Vollständigkeit halber nochmal der Link zum Überprüfen der Medien: https://www.debian.org/CD/verify

Die meisten Distributionen bieten aber sowieso nicht nur eine Desktopumgebung an. Fedora gibt es z.B. auch mit Cinnamon, Xfce oder KDE. Ich würde die Wahl der Distribution deshalb nicht unbedingt von der Desktopumgebung abhängig machen.

Wobei man dazu sagen muss, dass z.B. Mate nicht Mate ist zum Beispiel:

Linux Mint Mate sieht so aus:
http://4.bp.blogspot.com/-Z16WtVuDbQI/VHiOlS3X__I/AAAAAAAAU94/jH5OwyxbaCk/s1600/linuxmint171mate.png

Debian Mate sieht so aus:
https://upload.wikimedia.org/wikipedia/commons/5/51/Mate_DE_on_Debian.png

Der Unterschied optisch zwischen Debian Mate und Mint Mate ist ungefähr so wie zwischen Windows 95 und Windows 10. Und das ist nicht unbedingt sooo einfach Debian Mate optisch so zu ändern, dass es wie Mint Mate aussieht.

Wobei man dazu sagen muss, dass z.B. Mate nicht Mate ist zum Beispiel:

Linux Mint Mate sieht so aus:
http://4.bp.blogspot.com/-Z16WtVuDbQI/VHiOlS3X__I/AAAAAAAAU94/jH5OwyxbaCk/s1600/linuxmint171mate.png

Debian Mate sieht so aus:
https://upload.wikimedia.org/wikipedia/commons/5/51/Mate_DE_on_Debian.png

Der Unterschied optisch zwischen Debian Mate und Mint Mate ist ungefähr so wie zwischen Windows 95 und Windows 10. Und das ist nicht unbedingt sooo einfach Debian Mate optisch so zu ändern, dass es wie Mint Mate aussieht.

Es sind eigentlich nur andere Icons und das Mint-eigene GTK-Theme. Das Startmenü ist aber tatsächlich von den Mint-Leuten selbst geschrieben.

Hier das GTK2-Theme und die Icons: http://gnome-look.org/content/show.php/Mint+X+Colors+Icon+Theme?content=165531

Ich mochte damals bei GNOME 2 allerdings Clearlooks (das Standard-GNOME-Theme) mit den GNOME Colors Icons eigentlich ganz gerne: http://gnome-look.org/content/show.php/GNOME-colors?content=82562

Sieht auch ein bisschen seriöser aus als das Mint-Theme (ohne GNOME Colors Icons):

http://www.gabsoftware.com/wp-content/uploads/2011/04/Capture-121.png

Ich bekomme übrigens gerade einen ziemlichen Nostalgie-Flash.

Mate basiert noch auf Gnome 2?
Es gibt doch glaube ich auch einen Desktop der sich an Gnome 2 orientiert aber auf Gnome 3 basiert?

Mate basiert noch auf Gnome 2?
Es gibt doch glaube ich auch einen Desktop der sich an Gnome 2 orientiert aber auf Gnome 3 basiert?

Das ist Cinnamon. Gibt aber mittlerweile in GNOME 3 auch einen Fallback, der so aussieht wie GNOME 2:

https://i.stack.imgur.com/HVDB0.png

Man muss also nicht unbedingt Mate oder Cinnamon benutzen, wenn man einen etwas klassischeren Desktop will.

Mint hab ich mir mal als Live-DVD angeschaut und mir hats halt auf Anhieb gefallen...nur wenn das nicht sicher ist dann kann ich ja gleich meine Daten in eine Cloud laden :eek:


Naja, es wurde ja nicht direkt das Betriebssystem Linux Mint kompromitiert, sondern zunächst die Website des Projekts, so dass für eine kurze Zeit ein Abbild angeboten wurde, das ein Backdoor enthielt.
Außerdem wurde im Zuge des Angriffs das Forum gehackt, wodurch den Angreifern die (verschlüsselten) Passwörter der Forumaccounts in die Hände gefallen sind.

Linux Mint an sich (von einer legitimen Quelle bezogen) ist im Großen und Ganzen so sicher oder unsicher wie viele andere durchschnittliche Linux-Distributionen.

Allerdings zeigt die Attacke natürlich, dass sich die Leute hinter dem Projekt dringend mal Gedanken über die Sicherheit ihrer Internetpräsenz machen sollten. Wer der Meinung ist, dass man daraus auch auf generelle Probleme mit dem Sicherheitskonzept der Distribution schließen kann, sollte sich dann natürlich sicherheitshalber eine andere suchen.

Wobei ich momentan sowieso überlegen würde, noch ein paar Monate mit Linux Mint zu warten - abgesehen vom aktuellen Vorfall bringt die nächste Version nämlich eine deutlich modernere Paketbasis mit (17.3 basiert als LTS-Version noch auf Ubuntu 14.04 LTS) und die Optik soll ein wenig überarbeitet werden.

Nach ein bisschen Recherche bin ich auch noch auf diese Perle gestoßen: https://bugs.launchpad.net/linuxmint/+bug/1133777

Vor ein paar Jahren dachten sie wohl, dass es eine gute Idee sei, die Standardinstallation auf die DNS-Resolver von OpenDNS zu stellen. Privatsphäretechnisch als Standardeinstellung vielleicht nicht die beste Idee. Damals haben sie NXDOMAINs auch noch auf ihre eigene Websuche umgeleitet, was eigentlich nicht standardkonform ist.

Einige ihrer Entscheidungen kommen mir leicht unüberlegt vor.

Scheinbar ist ihr Forum auch nicht das erste Mal gehackt worden (oder sie haben es erst jetzt gemerkt): https://twitter.com/josephfcox/status/701459406668570624

Nach ein bisschen Recherche bin ich auch noch auf diese Perle gestoßen: https://bugs.launchpad.net/linuxmint/+bug/1133777

Je länger ich darüber nachdenke, desto dreister finde ich die Idee eigentlich - EIN BUG - das wollte doch jemand so :freak:

Zumal es haufenweise Sachen bricht. Was, wenn man einen lokalen DHCP-Server benutzt, der anhand der Hostnamen auch das lokale DNS füttert? Würde mit dieser Konfiguration so direkt erst einmal nicht funktionieren. Für IPv6 ist das allerdings ziemlich essentiell.

Eigentlich benutzt man ja solche Desktop-Distributionen, damit einem Entscheidungen abgenommen und richtig getroffen werden. Jedenfalls mag ich das an den meisten GNU/Linux-Distributionen. Leute machen sich über Dinge Gedanken, mit denen ich mich eigentlich nicht beschäftigen will und schnüren daraus ein Paket, das man auch als normaler Nutzer bedienen kann.

Solche essentiellen Funktionen zu brechen, geht da irgendwie genau in die falsche Richtung. Zum Glück haben sie das aber auch eingesehen.

Hmmm, also mal runter vom Gas...

Es wurden die Server gehackt und ein kompromittiertes Image online gestellt. Deswegen ist jetzt Linux Mint nicht per se schlecht, allerdings sollten sich die Website-Betreiber mal Gedanken über die Sicherheit ihrer Seite machen. Sowas geht mal gar nicht.

Grüße,
Zeph

Noch ein Kommentar: https://lwn.net/Articles/676664/

Bisher dachte ich eigentlich, dass es Mint auf Debian-Basis und auf Ubuntu-Basis gibt. Scheinbar stimmt das aber weder noch, weil ihre Ubuntu-Version wohl auch Pakete direkt aus Debian benutzt und das mit den Namensräumen einiger Pakete kollidiert. Zusätzlich kollidieren ihre eigenen Programme mit verschiedenen anderen Paketen aus Debian und Ubuntu, weil sie die falsch benannt haben.

Das ist wohl auch der Grund, warum sie manche Sicherheitsupdates zurückhalten. Sie können sich nie ganz sicher sein, dass nicht ein Update ihr „FrankenDebian“ bricht.

Eigentlich könnten sie das relativ leicht beheben, aber scheinbar hat sich in der ganzen Zeit niemand die Mühe gemacht.

Vielleicht sollten sie einmal darüber nachdenken, wirklich zu 100% kompatibel zu Ubuntu oder Debian zu werden. Das würde viele ihrer Probleme sofort lösen und dürfte auch leichter zu maintainen sein.

Je länger ich darüber nachdenke, desto dreister finde ich die Idee eigentlich - EIN BUG - das wollte doch jemand so :freak:
Zumal es haufenweise Sachen bricht. Was, wenn man einen lokalen DHCP-Server benutzt, der anhand der Hostnamen auch das lokale DNS füttert? Würde mit dieser Konfiguration so direkt erst einmal nicht funktionieren. Für IPv6 ist das allerdings ziemlich essentiell.

Eigentlich benutzt man ja solche Desktop-Distributionen, damit einem Entscheidungen abgenommen und richtig getroffen werden. Jedenfalls mag ich das an den meisten GNU/Linux-Distributionen. Leute machen sich über Dinge Gedanken, mit denen ich mich eigentlich nicht beschäftigen will und schnüren daraus ein Paket, das man auch als normaler Nutzer bedienen kann.

Solche essentiellen Funktionen zu brechen, geht da irgendwie genau in die falsche Richtung. Zum Glück haben sie das aber auch eingesehen.

OpenDNS ist ja erstmal nicht verkehrt, aber sowas sollte man lieber bei der Installation auswaehlbar (von mir aus auch abwaehlbar) machen.

Sollte Ubuntu nicht 100% kompatibel zu Debian sein? Wenn ich was mit apt-get install... hole, dann sollte das doch auf allen drei Betriebsystemen aufs gleiche repository gehen, oder?

Sollte Ubuntu nicht 100% kompatibel zu Debian sein? Wenn ich was mit apt-get install... hole, dann sollte das doch auf allen drei Betriebsystemen aufs gleiche repository gehen, oder?

Nein, das ist nicht erlaubt. Jedes System hat seine eigenen Repositories.

Nein, natuerlich hat Ubuntu seine eigenen Repos. Die Pakete sind nicht durchgaengig identisch zu denen in den Debian Repos, von denen 'abgeleitet' wird.

Sollte Ubuntu nicht 100% kompatibel zu Debian sein? Wenn ich was mit apt-get install... hole, dann sollte das doch auf allen drei Betriebsystemen aufs gleiche repository gehen, oder?

Canonical stellen ihre Releases aus den Debian Testing und Unstable Repositories zusammen. Sie machen dafür Schnappschüsse des aktuellen Zustands, bei Debian Testing und Unstable trudeln danach aber immer weiter auch Featureupdates rein, neue Pakete oder auch neue Abhängigkeiten der Pakete.

Das würde auch zeitlich gar nicht passen. Canonical veröffentlicht jedes halbe Jahr eine neue Version und alle zwei Jahre eine LTS-Version. Debian dagegen veröffentlichen stabile Versionen erst, wenn sie „fertig“ sind und auch nicht im gleichen Zyklus wie Ubuntu. Bei Debian gibt es deshalb mehrere Entwicklungszweige abseits von ihren stabilen Releases, die quasi einen Rolling Release haben und daraus wird dann durch einen monatelangen Freeze, während dem nur Fehler beseitigt werden, ein stabiles Release geformt. Ubuntu kennt so einen langen Freeze gar nicht, vor allem nicht für die halbjährlichen Releases. Ein Debian-Gegenstück zu den halbjährlichen Release gibt es z.B. auch gar nicht. Dafür gäbe es gar kein Repo, auf das Ubuntu so direkt zeigen könnte.

Zusätzlich bauen sie auch noch ihre eigenen Programme als Pakete und einige andere Sachen selbst, die sie dann auch nicht aus Debian beziehen. Dadurch kompilieren sie teilweise gegen komplett unterschiedliche Bibliotheksversionen und das macht sie inkompatibel.

So direkt kompatibel sind die auf gar keinen Fall. Wenn du dir einmal /etc/sources.list anschaut, wirst du auch sehen, dass die immer auf Ubuntu-spezifische Repos zeigen. Bei Debian dann auf Debian-spezifische.

Debian und Ubuntu benutzen zwar beide DPKG und APT als Paketmanager, aber die jeweiligen Repos sind darin natürlich nicht fest kodiert.

OpenDNS ist ja erstmal nicht verkehrt, aber sowas sollte man lieber bei der Installation auswaehlbar (von mir aus auch abwaehlbar) machen.

Die DHCP-Optionen zu ignorieren ist schon sehr verkehrt.