Open Source im professionellen Einsatz

Debconf 17: Flatpak, Secure Boot und die Freedom Box

09.08.2017

Secure Boot ist fast einsatzfähig, die Freedom Box gilt inzwischen als stabil und Flatpak will nun auch Debian erobern -- das sind weitere Ergebnisse der zurzeit in Kanada stattfindenden Debconf 17.

778

Auch Debian-Nutzer sollen künftig in den Genuss von Secure Boot kommen, eine Birds-of-Feather-Session auf der Debconf 17 gab ein Update zum Stand der Dinge. Aktuell unterstützt Debian zwar offiziell UEFI, aber noch kein Secure Boot. Das soll mit Hilfe von Signaturen dafür sorgen, dass ein Rechner nur den Kernel bootet, den er auch booten soll und nicht etwa Malware.

Dabei validiert die Firmware des Systems im ersten Teil des Bootprozesses den Bootloader über Schlüssel, denen es vertraut. Aktuell kommen solche Schlüssel von Microsoft und agiert Shim von Matthew Garrett als First Stage Bootloader. Shim ist zugleich in der Lage, einen Second Stage Bootloader zu laden, der dann wiederum einen selbst signierten Kernel laden kann. Das ist nützlich, wenn ein Projekt nicht den offiziellen Kernel nutzen möchte. Da Shim dafür den Schlüssel für den Second Stage Bootloader benötigt, muss der Admin es jedes Mal neu signieren, wenn sich dieser Schlüssel ändert.

Entwickler Steve McIntyre erklärte in der Session, dass die Teile für Secure Boot im Wesentlichen an Ort und Stelle seien. Es gebe einen signierten Shim und Patches für eine zur Signatur nötige Infrastruktur. Das Debian-Projekt habe zudem den Versuch unternommen, sie in Stretch unterzubringen. Am Ende fehlte allerdings die Zeit, den Code einer ausführlichen Review zu unterziehen. Zudem sei noch unklar, wer das Signieren übernehmen könne.

Freiheitskiste

Die Freedom Box ist ein vom amerikanischen Juristen Eben Moglen angestoßenes Projekt, das auf ein Debian aufsetzt und an dessen Entwicklung sich auch einige Debian-Entwickler beteiligen. Mit der Version in Stretch betrachtet James Valleroy Freedom Box erstmals als produktionsreif, die Software lässt sich nun einfach über den Paketmanager von Debian einspielen.

Freedom Box läuft dabei auf verschiedenen Architekturen und Geräten, darunter x86, amd64, dem Raspberry Pi 2, Beaglebone Black, Cubietruck, Cubieboard 2 und in den VM-Lösungen Qemu und Virtualbox. Die Box lässt sich über ein Webinterface konfigurieren, über das die User auch neue Software einspielen.

Geplant ist der Support für weitere Pakete, darunter Syncthing, Matrix, Tahoe-LAFS und Diaspora. Nextcloud wird die Freedom Box wohl nicht unterstützen, da es von der Software keine Debian-Pakete gibt. Grund sei vor allem der schnelle Release-Zyklus von Nextcloud, der dafür sorge, dass die Versionen in Debian zu schnell veralten. Das könnte ein Fall für Flatpak sein, dem Paketformat, das genau diese Probleme angehen möchte, allerdings unterstützt Freedom Box es (noch) nicht.

Flatpak zu Hilfe?

Tatsächlich muss sich die Debian-Community noch von Flatpak überzeugen lassen. Den Versuch unternahm auf der Debconf Simon McVittie, ein britischer Collabora-Mitarbeiter, der unter anderem für Valve und Steam arbeitet. Wie es scheint, hätte Valve, das für Steam OS im Linux-Bereich auf Debian setzt, gern Flatpak an Bord. Dies hätte beispielsweise den Vorteil, dass sich neue Versionen von Spielen mit aktuelleren Abhängigkeiten problemloser ausliefern lassen.

Auch andere Independent Software Vendors (ISVs) laborieren daran, dass sie Software für Windows und Mac ausliefern, aber im Linuxbereich auf ganz verschiedene Systeme treffen, was das Paketieren, trotz LSB, zu einer Plage mache. Backports seien nicht in allen Fällen eine Lösung und manche Software entwickelt sich einfach deutlich zu schnell für die Releasezyklen einer Distribution wie Debian. Flatpak könne da eine Lösung sein: Das vor ein paar Jahren von Lennart Poettering vorgeschlagene und als Part von Freedesktop.org entwickelte Paketformat mit Sandboxing-Fähigkeit erlaubt es, über Runtimes neuere Bibliotheken auch auf älteren Systemen auszuliefern. Es eigne sich allerdings vor allem für Desktop Apps, die Gnome Shell oder Dienste wie Udev oder Init seien keine geeigneten Flatpak-Kandidaten. Dank Sandboxing erhalten die Apps keinen Zugriff auf die privaten Dateien.

Es brauche für die Runtimes zugegebenermaßen mehr Festplattenplatz, erklärte McVittie, dieser lasse sich aber mit Hilfe von Hardlinks reduzieren. Ein weiteres Problem sei der Umgang mit unprivilegierten User Namespaces. Die müsste ein User auf Debian explizit erlauben, um Flatpak zu nutzen. Um das Problem zu umgehen, greift das Projekt nun zu Bubblewrap, einer Art "linux-user-chroot". McVittie war auf der Debconf nicht der einzige, der sich mit Flatpak beschäftigte: Vor ihm stellte Endless OS das hauseigene Debian-Betriebssystem vor, dass neben Flatpak auch auf OS-Tree setzt.

Ob das Flatpak-System am Ende tatsächlich in Debian Einzug findet, steht allerdings auf einem ganz anderen Blatt. Den nötigen Support scheint es an einigen Stellen zu geben. Doch die Debian-Community lässt sich mit solchen Entscheidungen in der Regel viel Zeit, zudem gibt es mit Snappy noch mindestens ein konkurrierendes System. Doch sollte es in Debian landen, würde es wohl das bisherige Paketsystem nicht ablösen.

Ähnliche Artikel

  • Debconf 2017

    Das Debian-Projekt existiert inzwischen sehr lange, viele Debianer halten ihre Distribution daher für alternativlos. Auf der Debconf 2017 warnte Entwickler Matthew Garrett allerdings, dass Debian auch in der Bedeutungslosigkeit verschwinden könne.

  • Flatpak und Snap

    Die neuen Paketformate Flatpak und Snap wollen den alteingesessenen Linux-Paketmanagern RPM und Dpkg an den Kragen. Doch hält die Technik dahinter, was das Marketing verspricht?

  • Debconf 2010: Die Freedom Box soll die Daten zurückerobern

    Auf der derzeit in New York stattfindenden Konferenz Debconf haben einige Debian-Entwickler eine Idee des FSF-Juristen Eben Moglen aufgegriffen: Ein preiswerter Linux-Computer soll die Daten der Anwender aus dem Web zurück ins Heim holen.

  • Einführung

    (Fast) alles über Debian: Die erste Seite der aktuellen DELUG-DVD enthält Videos von der Debconf 2017, die andere Seite bietet unter anderem ein E-Book über die C++-Boost-Bibliotheken. Nicht zuletzt sind aktuelle Versionen von Arch Linux, Manjaro und Raspbian mit an Bord.

  • Debconf 13: Dabei per Livestream und IRC

    Die Debian-Entwicklerkonferenz Debconf in der Schweiz ist in vollem Gange. Per Live-Videostream und IRC können Daheimgebliebene dabei sein.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.