Ravenbird
Anmeldungsdatum: 3. Mai 2008
Beiträge: 145
|
Hallo Zusammen, da ich abseits der reinen Nutzung von Ubuntu (bzw. Xubuntu) nicht mehr so viel hier im Forum und im Thema Linux/FLOSS/etc. unterwegs bin, wollte ich einfach mal fragen wie es inzwischen mit dem Paketquellen universe und multiverse steht. Den diese beiden werden ja nicht von professioneller Seite vom Ubuntu-Team betreut. Was universe ist wird von der Community (oder um genauer zu sein von den MOTUs betreut, bei Paketen in multiverse wird nach dem Fire and forget Konzept verfahren, aber auch sie unterliegen soweit ich mich erinnere der Fürsorge der MOTUs. Ist das so weit noch richtig oder hat sich da was geändert? Den mein letzter Stand war das es mit den Updates in universe und noch mehr in multiverse nicht so toll stand und das das durchaus ein Sicherheitsrisiko sein kann bzw. ist. Und nein das soll keine Kritik an jenen sein die sich die Mühe machen in ihrer spärlichen Freizeit auch noch um Pakete aus universe und multiverse zu kümmern, ihnen sollte ganz im Gegenteil unser Dank und Lob gelten. Aber das Thema Sicherheit wird immer wichtiger und das nicht nur im kommerziellen oder staatlichen Sektor. Ich wünsche einen schönen Abend Viele Grüße vom Rabenvogel
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo, an der Situation hat sich grundsätzlich nichts geändert. Gruß, noisefloor
|
Ravenbird
(Themenstarter)
Anmeldungsdatum: 3. Mai 2008
Beiträge: 145
|
Gibt es irgendwelche Ansätze an der Lage was zu ändern bzw. sie zu verbessern? Den so wie es damals und offenbar auch hier ist, bereitet es zumindest mir ziemlich große Bauchschmerzen und ich befürchte die meisten Benutzer von Ubuntu haben das nicht mal auf dem Plan.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo,
Gibt es irgendwelche Ansätze an der Lage was zu ändern bzw. sie zu verbessern?
Da musst du mal bei Canonical nachfragen. ubuntuusers.de ist komplett unabhängig von Canonical und hat mit der Entwicklung von Ubuntu als Linux-Distribution nichts zu tun. Gruß, noisefloor
|
Ravenbird
(Themenstarter)
Anmeldungsdatum: 3. Mai 2008
Beiträge: 145
|
Ja mir ist klar das uu.de da nichts dran ändern kann. Auf jeden Fall vielen Dank für Deine Antwort. ☺
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo, Nachtrag: einen kleinen möglichen "Workaround" gibt es. Teilweise gibt es Programme als universe als snap-Paket in einer aktuelleren Version und die Maintainer des snaps veröffentlichen regelmäßiger Updates. Ein Garantie gibt es dafür aber auch nicht - kommt halt auf den Maintainer an. Plus das snaps mahr Platz auf der Platte belegen, weil alles "all in" ist. Gruß, noisefloor
|
zephir
Anmeldungsdatum: 20. März 2006
Beiträge: 2758
|
Teilweise gibt es Programme als universe als snap-Paket in einer aktuelleren Version
wenn das mal nicht den Teufel mit dem Beelzebub austreiben ist. Oder gilt die Warnung vor Fremdquellen nicht mehr? Aber gut, wenn die snap Pakete einen autoupdater beinhalten und besser gewartet werden, oder das Paket in den Quellen eine bekannte Sicherheitslücke hat, mag das eine Option sein. Ansonsten gibt es immerhin die Möglichkeit, sich recht einfach über den Supportstatus der installierten Pakete zu informieren: ubuntu-support-Status #Listet die Anzahl von Paketen ohne Support auf dem System
ubuntu-support-status --show-unsupported #zeigt welche das sind
ubuntu-support-status --show-supported #zeigt die anderen und unter https://people.canonical.com/~ubuntu-security/cve/universe.html#universe kann man sich mindestens für universe auch informieren, wie es mit bekannten Sicherheitslücken auszieht, wobei nur rot wirklich kritisch ist. Auf meinen System sieht das trotz diverse Pakte aus Universe recht undramatisch aus. Für Multiverse habe ich keine Angaben gefunden. Im Prinzip haben wohl alle stabilen Distributionen das selbe Problem, das es schlicht nicht leistbar ist, alle Pakte in den jeweiligen Versionen für wirklich lange Zeiträume zu Supporten, es sei den man beschränkt das auf eine sehr enge Auswahl an Paketen. Da hilft dann wohl nur Rolling Release, was dann an anderer Stelle Nachteile hat. Bei Canonical finde ich nur dieses vollmundige versprechen von 5 Jahren Support für LTS recht fragwürdig. Wenn man sich dann mal genauer ansieht, für was das alles nicht gilt, und wie wenig transparent das für den Anwender ist, finde ich das grenzt schon an Irreführung.
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
zephir schrieb:
Bei Canonical finde ich nur dieses vollmundige versprechen von 5 Jahren Support für LTS recht fragwürdig. Wenn man sich dann mal genauer ansieht, für was das alles nicht gilt, und wie wenig transparent das für den Anwender ist, finde ich das grenzt schon an Irreführung.
Da muss ich Dir Beipflichten. Ich Finde auch das dieser Sachverhalt seitens Canonicals definitiv einer Transparenz Bedarf. Der Hinweis ist zwar hier im Wiki zu Finden, aber seien Wir mal Ehrlich der Typische "Ubuntu Anfänger" ließt sich das erst mal nicht durch. Er sieht nur 5 Jahre Support, Freut sich, und wird später wenn dieser sich mehr mit Ubuntu und dem Wiki Beschäftigt erst mal über diesen Sachverhalt Enttäuscht. Aber Du hast schon Recht das man bei einer stabilen Distribution nicht alle Pakete Beachten kann, das wäre auch Denke Ich zu Aufwändig. Und Bleeding Edge ist auch nicht immer das Gelbe vom Ei. Zumindest für die, die sich nicht tiefgreifender mit dem System beschäftigen wollen. Es ist halt wie im wahren Leben, man kann es nicht jedem recht machen, und wer einen abgesicherten PC haben möchte der muss halt den Netzwerkstecker ziehen 😀
|
Ravenbird
(Themenstarter)
Anmeldungsdatum: 3. Mai 2008
Beiträge: 145
|
Hallo Zusammen, @noisefloor: Das habe ich mir auch überlegt, aber von dem Gedanken nach der Sache mit dem Krypte-Mining bin ich da wieder von ab gekommen. An sich bräuchte es eine Trennung des Grundsystems + Desktop und der Anwendungssoftware, mit zwei unterschiedlichen Paketsystemen inkl. Abhängigkeiten. Dadurch könnte man das Thema der Aktualität der Anwendungsprogramme ein für alle Mal erledigen und diese 'Anwendungs-Paketsystem' könnte in allen Distributionen (also nicht nur Ubuntu) eingesetzt werden. @zephir: Ja Snap nutzen würde bedeuten den Teufel mit dem Beelzebub auszutreiben. An sich keine Option. Alternative Möglichkeiten die durchaus sinnvoll wären gäbe es schon, siehe meine Antwort an noisefloor. Es ist schön das es eine Möglichkeit gibt den Supportstatus auszulesen, aber für den normalen Benutzer dürfte das recht wenig bringen. Das mit den '5 Jahren Support' oder zuvor mit den '3 Jahren Support' würde man im normalen Wirtschaftsumfeld als Betrug sehen, da es ja nur das Kernsystem betrifft. Da Ubuntu aber für jeden frei erhältlich ist, ist es eben nur Täuschung. Wenn der Sachverhalt groß und eingängig sichtbar wäre, sähe es anders aus. Nur wären dann wohl viele Benutzer gar nicht erst zu Ubuntu gekommen. Persönlich überlege ich momentan wieder mit Sack und Pack zu Debian zu wechseln. Ist zwar bei weitem nicht so schön wie Ubuntu gemacht, aber dort bekommt man immerhin für die aus den offiziellen Repositories installierte Software Fehlerbehebungen und Sicherheitsupdates. Muss ich mir mal noch weiter durch den Kopf gehen lassen.
|
ChickenLipsRfun2eat
Anmeldungsdatum: 6. Dezember 2009
Beiträge: 12067
|
Mal als kleiner Hinweis am Rande: Die 5 Jahre Support gelten für alle Ubuntu-Pakete, aber nicht für uni-/multiverse. Das ist keine Täuschung, sondern normal. Wer bietet schon für Dinge, die er nicht selbst kontrollieren kann eine Garantie? Wenn du sicherheitskritisch sein möchtest und fünf Jahre Support willst, brauchst du universe und multiverse ja nicht aktivieren - oder installierst dir die fehlenden Pakete manuell und updatest selbst. Und auch bei RR-Distros werden nicht alle Pakete 24/7 betreut und es gibt ausreichend unbetreute Pakete da draußen. Dafür hat ja jedes Betriebssystem einen Systemverwalter, der das im Blick hält ☺
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28947
Wohnort: WW
|
Hallo,
Oder gilt die Warnung vor Fremdquellen nicht mehr?
Doch. Wobei snap-Paket ja nur Fremdsoftware sind, keine Quelle.
Aber gut, wenn die snap Pakete einen autoupdater beinhalten
Das ist der Fall.
und besser gewartet werden, oder das Paket in den Quellen eine bekannte Sicherheitslücke hat, mag das eine Option sein.
Ist es dann auch. Das doofe ist halt nur, dass man das vorher nicht weiß, wie aktiv der Maintainer ist. Es gibt eine ganze Reihe von snaps, die von Canonical betreut werden. Hier ist die Chance gut, dass zeitnach Updates kommen. Ich selber nutze Go (also die Programmiersprache) als snap und der Maintainer "mwhudson" (wer auch immer das ist), ist ziemlich fix und auf dem aktuellen Stand.
An sich bräuchte es eine Trennung des Grundsystems + Desktop und der Anwendungssoftware, mit zwei unterschiedlichen Paketsystemen inkl. Abhängigkeiten.
snap ist vom Grundsystem getrennt. Beim Krypto-Mining wird ja auch "nur" deine Rechenleistung missbraucht, dein System wird nicht geschädigt. Identische "Angriffe" gab's auch schon via JavaScript im Browser. Da nützt es auch nichts, wenn du den Firefox aus den "main" Repos nimmst... Aber unterm Strich ist es so, dass du nur sicher sein kannst, halbwegs aktuellen Software zu haben, wenn du nur "main" und "restricted" aktivierst und ggf. selber noch Software kompilierst. Gruß, noisefloor
|
Ravenbird
(Themenstarter)
Anmeldungsdatum: 3. Mai 2008
Beiträge: 145
|
ChickenLipsRfun2eat schrieb: Mal als kleiner Hinweis am Rande: Die 5 Jahre Support gelten für alle Ubuntu-Pakete, aber nicht für uni-/multiverse. Das ist keine Täuschung, sondern normal. Wer bietet schon für Dinge, die er nicht selbst kontrollieren kann eine Garantie?
Wenn ich mich nicht täusche werden zumindest die universe Quelle automatisch aktiviert und nur bei multiverse gefragt ob es genutzt werden soll. Dies aber in einer Form in der der normale Benutzer nicht nachvollziehen kann um was genau es sich handelt. In beiden Fällen aber auf keinen Fall so das der normale Benutzer erfassen kann das der LTS-Support für die Pakete aus universe und multiverse nicht gilt. Zumindest nicht ohne sich vorher eingehend einzuarbeiten.
Wenn du sicherheitskritisch sein möchtest und fünf Jahre Support willst, brauchst du universe und multiverse ja nicht aktivieren - oder installierst dir die fehlenden Pakete manuell und updatest selbst. Und auch bei RR-Distros werden nicht alle Pakete 24/7 betreut und es gibt ausreichend unbetreute Pakete da draußen. Dafür hat ja jedes Betriebssystem einen Systemverwalter, der das im Blick hält ☺
Wie erwähnt wird universe offenbar automatisch aktiviert. Bei multiverse gibt es meiner Erinnerung nach eine Abfrage, die jedoch alles andere als klar ist.
|
Ravenbird
(Themenstarter)
Anmeldungsdatum: 3. Mai 2008
Beiträge: 145
|
So ich habe eben noch mal ein frisches Ubuntu 18.04 in einer Virtualbox installiert. Es wird abgefragt ob Third-Party Anwendungen genutzt werden sollen, habe das mal aus gelassen und finde die Formulierung für normale Anwender auch ungeeignet. Auf jeden Fall ist auch so nach der Installation universe und multiverse aktiv. Sprich man muss es nicht erst aktivieren und macht sich deshalb auch keine weiteren Gedanken darüber.
|
RamSpeicher
Anmeldungsdatum: 17. Juli 2009
Beiträge: 2508
|
Ravenbird schrieb:
Es wird abgefragt ob Third-Party Anwendungen genutzt werden sollen, habe das mal aus gelassen und finde die Formulierung für normale Anwender auch ungeeignet.
Diese Abfrage bezieht sich doch meines Wissens nach nur auf dieses Paket, und das liegt in Multiverse. Und ich Denke dem "normalen Anwender" ist das so ziemlich Egal, wenn der sein Ubuntu Multimediafähig haben will, dann wird Er das auch Anklicken. So oder so sollte man sich immer vorher Informieren, Egal ob man Windows, Mac, oder Linux Benutzt. Es gibt kein Betriebssystem was zu 100% gegen Angriffe gefeilt ist. Software wird von Menschen Programmiert, Menschen machen Fehler, das ist auch nur Menschlich. Niemand kann alle eventualitäten Bedenken. @ ChickenLipsRfun2eat
Mal als kleiner Hinweis am Rande: Die 5 Jahre Support gelten für alle Ubuntu-Pakete, aber nicht für uni-/multiverse. Das ist keine Täuschung, sondern normal. Wer bietet schon für Dinge, die er nicht selbst kontrollieren kann eine Garantie?
Ich wollte Canonical auch keine Täuschung vorwerfen, nur wenn Sie sich das Ziel Setzten Ubuntu Kommerziell / für die Breite Masse zu machen dann sollte doch auch für den "normalen Anwender" an geeigneter Stelle ein entsprechender Hinweis auftauchen. Natürlich sollte man das besser mit Canonical klären, Ich wollte es nur mal Erwähnt haben. Ansonsten kann man nur noch Sagen es gibt keine 100%ige Sicherheit, auch nicht im wahren Leben.
|
Tronde
Anmeldungsdatum: 23. November 2006
Beiträge: 1640
|
Der Zustand vieler Pakete in universe und multiverse ist in der Tat sehr bedauerlich. Noch bedauerlicher finde ich, dass sich daran auch weder schnell noch einfach etwas ändern lässt. Laut Hörensagen geht die Anzahl der Paketbetreuer kontinuierlich zurück. Von dem was ich als Laie von der Paketpflege erfahren habe, ist dies auch mit einigem Aufwand verbunden und man macht es nicht mal so eben nebenbei. Das Thema ist in meinen Augen für Anfänger auch nicht sehr zugänglich, so dass es mich nicht wundert, wenn es hier ein Nachwuchsproblem gibt. Ich bin sicher, dass Canonical Pakete in main aufnimmt, sofern genügend kommerzielle Kunden Support dafür einfordern und Canonical Mitarbeiter hat/findet, die diese Pakete pflegen. Kommerzielle Nutzer prüfen jedoch den Supportumfang in der Regel, bevor sie sich für eine Distribution entscheiden und wissen worauf sie sich einlassen. Und auch dem privaten Nutzer steht ja nichts im Wege, das ihn daran hindert, sich kundig zu machen. Ich unterstelle, dass es viele Nutzer auch einfach nicht sonderlich interessiert. Als privater Nutzer freue ich mich, eine Distribution kostenlos nutzen zu können, die auf meinen Endgeräten gut funktioniert, meine Hardware/Peripherie unterstützt und für fünf Jahre hinreichend stabil ist. Mit den Schwächen von universe und multiverse habe ich mich arrangiert. Zumindest habe ich keine Idee, wie ich die Situation zum Besseren beeinflussen könnte.
|