© tagota, 123RF

Das Debian-Projekt hat im Juni die neue Version 9.0 seiner Distribution Debian GNU/Linux freigegeben. Neben der üblichen Modellpflege ergeben sich auch einige tiefgreifende Änderungen.

Seit der vorigen Version von Debian GNU/Linux sind 26 Monate vergangen. Damit hat sich das Projekt zwar etwas mehr Zeit gelassen, als es andere Distributionen im Enterprise-Umfeld üblicherweise tun. Für Debian ist dieses Release-Intervall aber typisch – Pi mal Daumen lagen auch bisher jeweils zwei Jahre zwischen zwei Major-Versionen der Distribution.

Üblich ist aber auch, dass Debian-Admins auf neue Debian-Versionen (Abbildung 1) sehnsüchtig warten: Gilt bei Debian doch die besonders strikte Regel, dass sich eine als stabil deklarierte Distribution nur noch so gering wie irgend nötig ändern soll. Es werden im Normfall also nur schwere Fehler behoben oder Sicherheitsupdates verteilt, die als Minor-Release regelmäßig auch im Bundle erscheinen.

Abbildung 1: So präsentiert sich der Startbildschirm des neuen Debian.

Neue Funktionen, neue Major-Versionen von Programmen oder gar zusätzliche Pakete sucht man bei Debian jedoch vergebens. Oft behelfen sich Admins mit Backports, doch das ist nur eine Krückenkonstruktion. So ist es also kein Wunder, dass eine neue Debian-Version immer für viel Vorfreude sorgt. Aber kann sie die in sie gesteckten Erwartungen auch erfüllen? Dem geht das Linux-Magazin mit diesem Beitrag auf den Grund.

Wie üblich trägt die neue Debian-Version einen Spitznamen – dieses Mal “Stretch”, in Anlehnung an den Oktopus aus Toy Story 3. Auch in der Vergangenheit nutzte man die Namen von Figuren aus den Toy-Story-Filmen. Auch nicht wesentlich verändert hat sich das Entwicklungsmodell: Wie bisher setzte man auf ein System aus drei Ebenen, bei dem Entwickler ihre Pakete in die Unstable-Distribution hochladen, von wo aus sie automatisch nach Testing wandern. Testing wird schließlich in Stable umbenannt – sobald es keine Fehler mehr gibt, die die Entwickler als Showstopper betrachten.

In den vergangenen Monaten war dadurch bereits gut absehbar, welche Änderungen Debian GNU/Linux 9.0 seinen Anwendern bescheren würde. Einige dieser Features haben es in sich.

Good bye, MySQL

Im Alltag auffallen dürfte, dass Debian GNU/Linux 9.0 kein MySQL mehr enthält. Dafür kommt Maria DB zum Einsatz, die nach Ansicht der Debian-Entwickler besser zu pflegen ist. Debian folgt damit dem Beispiel Ubuntus, das diese Änderung bereits vor einiger Zeit vollzogen hat. Weil Maria DB in weiten Teilen kompatibel zu MySQL ist, sollten sich die Auswirkungen auf laufende Setups in Grenzen halten. Ein Upgrade, so versprechen die Debian-Entwickler, sei von Debian 8 auf Debian 9 völlig problemlos möglich – das Paketsystem holt automatisch die Maria-DB-Pakete und ersetzt damit MySQL.

Apropos ersetzen: Erstmals seit zehn Jahren enthält Debian wieder Firefox und Thunderbird. Aufgrund von Markenrechtsstreitigkeiten hatte man damals jene Programme durch Iceweasel und Icedove ersetzt, die im Grunde Firefox und Thunderbird waren, jedoch deren Namen und die dazugehörenden Icons vermieden. Die Debian-Entwickler konnten ihren Zwist mit der Mozilla-Foundation vor einigen Monaten ausräumen, sodass nun wieder die offiziellen Komponenten zum Einsatz kommen dürfen.

Mehr Sicherheit durch reproduzierbare Builds

Wie kann ein Admin feststellen, ob die von Debian heruntergeladenen Pakete wirklich den Inhalt haben, den der Paketpfleger einst vorgesehen hatte? Hier hat das Reproducible-Builds-Projekt in Debian Stretch seinen großen Auftritt. In den vergangenen zwei Jahren haben die Debian-Entwickler in vielen Paketen Veränderungen vorgenommen, die die Reproduzierbarkeit von Paketbauvorgängen sicherstellen. Lädt sich ein Admin also die offiziellen Paketquellen aus dem Debian-Archiv herunter und baut das Paket bei sich auf einem sauberen System neu, so erhält er exakt das gleiche Binary wie im Debian-Paket.

So lassen sich etwa Man-in-the-Middle-Attacken erkennen, bei denen Nutzer ein anderes, bösartig modifiziertes Paket untergejubelt bekommen. Unterscheidet sich nämlich das Ergebnis des eigenen Bauvorgangs vom Inhalt eines Pakets, weißt der Admin, dass etwas nicht stimmt. Über 90 Prozent der Pakete in Debian 9.0 lassen sich so prüfen.

Auch sonst haben die Entwickler Wert auf Sicherheit gelegt. X11 ist künftig komplett ohne die Rechte des Systemadministrators Root nutzbar, was den potenziellen Schaden verringert, den ein Einbruch über X11 ergibt. Und Gnu PG, selbst eine zentrale Komponente in Debians Archiv-System, kommt nun in Debian aus dem Modern-Zweig des Gnu-PG-Repository: Im Gegensatz zu seiner Vorgängerversion enthält das neue Gnu PG stärkere Kryptographie und ist gegen verschiedene Krypto-Angriffe besser gesichert.

Lapsus: UEFI Secure Boot

Nicht das Maximum beim Thema Sicherheit erreicht Stretch jedoch in Sachen UEFI-Boot. Zwar ist auch hier die Zeit nicht stehen geblieben und Stretch unterstützt UEFI besser als sein Vorgänger Jessie. UEFI Secure Boot, das das Ausführen missliebigen Codes bereits auf der UEFI-Ebene unterbindet, ist in Stretch entgegen der ursprünglichen Planung aber nicht enthalten.

In den Augen einiger Entwickler ist das eine vertane Chance: So hatte man schon einen eigenen Bootloader, den Microsoft signiert hatte und der für UEFI Secure Boot nutzbar gewesen wäre.

Dass es mit dem Feature letztlich doch nicht wie geplant geklappt hat, lag am notwendigen Integrationsaufwand: Der hätte die Veröffentlichung von Stretch verzögert, was die Debian-Entwickler nicht in Kauf nehmen wollten. Zwar lässt sich das Security-Feature von UEFI meist per Bios-Einstellung deaktivieren; Debian hinkt anderen Distributionen hier jedoch hinterher, die bereits UEFI Secure Boot unterstützen.

Unklar ist, ob Debian das Feature in einer Minor-Release von Stretch nachliefert. Ausgehen sollten Admins davon aber aus den beschriebenen Gründen besser nicht (Abbildung 2).

Abbildung 2: Chance vertan: Secure Boot muss im Bios eines Computers deaktiviert sein, damit sich Debian booten lässt – denn Stretch unterstützt UEFI Secure Boot schlicht nicht.

Namen und Versionen

Eine Änderung in Stretch, die sich im Alltag bemerkbar macht, betrifft die Benennung von Netzwerkkarten: Hier folgt Debian dem Beispiel anderer Systeme und benennt NICs künftig nach Kriterien wie Index-Nummern aus dem Bios und dem genutzten Bus-System. Eine Netzwerkkarte heißt daher künftig nicht mehr »eth1«, sondern etwa »ens0« oder »w1p3s0« – je nachdem, ob es eine Ethernet-, WLAN- oder USB-NIC ist.

Nicht unerwähnt bleiben soll die obligatorische Versionspflege, die auch bei Debian Stretch stattgefunden hat. Der Kernel in Version 4.9 ist einigermaßen aktuell. Server-Dienste wie BIND (9.10), Nginx (1.10), Postfix (3.1) oder PostgreSQL (9.6) liegen ebenfalls in aktuellen Versionen bei. Der Kommandozeileneditor Vim kommt in Version 8.

Auch in Sachen Desktop punktet Stretch mit Aktualität: KDE Plasma 5.8, Gnome 3.22, LXQt 0.11 oder Xfce 4.12 gehören zum Lieferumfang – auch wenn zum Teil bereits neuere Versionen vorliegen. Der Entwicklungsprozess macht es praktisch unmöglich, das zu verhindern: Vor der Veröffentlichung des Testing-Branch als Stable findet ein Wochen bis Monate dauernder Freeze statt, währenddessen sammeln die Pakete Staub an.

Klar ist aber auch: Stretch ist die aktuellste Software, die Debian anbietet. Wer ältere Debian-Systeme betreibt, sollte sich also Gedanken über ein zeitnahes Upgrade machen. Danach wäre erst mal fünf Jahre Ruhe: Stretch ist eine LTS-Release, die Debian fünf Jahre lang mit Updates versorgen wird.