Różnica w bezpieczeństwie między Debianem a Ubuntu

[Diatrom]

Chciał bym się dowiedzieć na ile Ubuntu ustępuje pod względem bezpieczeństwa Debianowi? Nie mam zamiaru debatować który system jest ogólnie lepszy czy gorszy. Z tego co mi wiadomo Ubuntu bazuje na Debianie w wersji Sid która wśród tamtej społeczności jest uznawana za .... no powiedzmy wersję która wymaga jeszcze dopracowania. Stąd pytanie jak to się przekłada na Ubuntu ?

[Hwiparam]

Sid jest wersją niestabilną, co mówi samo za siebie. Z drugiej strony, stabilny Debian na przeciętnym desktopie nie ma specjalnie racji bytu, dlatego że ponieważ, delikatnie mówiąc, trąci myszką Nie ma jednoznacznej odpowiedzi na Twoje pytanie. Już wybór należy do Ciebie, czego od systemu oczekujesz. Jeśli przedkładasz bezpieczeństwo nad dostępność najnowszych pakietów, to możesz zainteresować się Debianem w wersji stabilnej, chociaż moim zdaniem Testing byłby optymalnym rozwiązaniem na desktop. Może sprecyzuj trochę, co masz na myśli pod słowem "bezpieczeństwo", to otrzymasz bardziej precyzyjną odpowiedź od mojej

[pavbaranov]

Sid w Debianie to "poligon testowy", ale dla Ubuntu jest to podstawa nowej dystrybucji. Sid i Ubuntu z danego momentu różnią się od siebie. W Sidzie mogą być nowsze paczki, bowiem Ubuntu pracuje na Sidzie sprzed bodaj pół roku (czy 3 miesięcy, nie pamiętam dokładnie) przed nową wersją. Dla kwestii "bezpieczeństwa" (cokolwiek to dla Ciebie znaczy) Ubuntu, nie ma to większego znaczenia, bowiem w Ubuntu dostarczane są ich własne łatki.
Jeśli chodzi o bezpieczeństwo, to dla mnie oznacza to, czy deweloperzy wprowadzają na bieżąco tzw. łatki bezpieczeństwa. Należałoby to prześledzić. W Debianie dane te są publikowane na bieżąco. Niestety nie znalazłem czegoś podobnego dla Ubuntu. Z drugiej strony jakoś nie bardzo słychać o włamaniach itp. na Ubuntu
Omijając nieco Twoje pytanie, to wydaje się, że najszybciej na pojawienie się wszelkich łatek bezpieczeństwa reagują deweloperzy dystrybucji o charakterze rolling release, zaś z tych mających swoje wydania, to chyba najlepiej wygląda to w Debian Stable, Slackware i CentOS i to dla "niemieszanych" repozytoriów. Debian Stable i CentOS nigdy nie dają jednak najświeższych wersji i tu również zaczyna się zabawa, gdy poprawki są prezentowane nie jako łatki, a nowe wydania. Kiedy używałem jeszcze Debiana, to deweloperzy starali się, by ich wersje (czyt. stare) pakietów mimo wszystko zawierały wszystkie poprawki bezpieczeństwa. Niemniej jednak odpowiedź na to, czy i w którym systemie są bardziej aktualne paczki pod względem bezpieczeństwa tkwi w przeglądnięciu changelogów używanych przez Ciebie pakietów w obu systemach.

[Diatrom]

Hwiparam mniej więcej chodziło o to co napisaliście. Debian Sid to faktycznie poligon doświadczalny więc chciałem się dowiedzieć czy Ubuntu też jest takim poligonem doświadczalnym z racji że też bazuje na sidzie tyle że pod inną nazwą. Z tego co kolega pavbaranov pisze rozumiem że Ubuntu to taki dopracowany Sid Czyli Ubuntu dostaje na bieżąco łatki z Debiana i do Canonica ? Może ujmując inaczej pytanie ile w Ubuntu jest Debiana ? Nie chcę się czepiać. Próbuję się wgryźć bardziej w temat jedną nogą do kuchni się trochę pchając

[pavbaranov]

Nie wiem, czy na bieżąco dostaje łatki. Musisz sobie to sprawdzić. Zwróć uwagę np. na taki podstawowy pakiet, jak kernel W ostatnim LTS, jest wersja 3.2. Zgodnie z kernel.org - to jest LTS. Winna zatem być wspierana z upstreamu i poprawki upstreamu Canonical dostarczać winien na bieżąco. Czy tak jest? Nie wiem, trzeba byłoby sprawdzić w changelog, a biorąc pod uwagę inne oznaczenia kernel.org i Canonicala w ich pakietach jest to żmudna robota.
Kiedy już przejdziemy na Quantal, to okazuje się, że w nim jest kernel w wersji 3.5, który nie jest już wspierany przez kernel.org, a zatem żadna poprawka bezpieczeństwa do niego nie zawita z upstreamu, a wątpię, by zawitać miała staraniem deweloperów Canonicala. Podobnie jest w Raring, który oryginalnie ma kernel w wersji 3.8, który również nie jest już wspierany. Inna sprawa, że podobny problem, w wersjach dystrybucji nieopartych o kernele LTS, będzie zawsze. A kernel, to główne źródło (choć nie wyłączne) bezpieczeństwa systemu. Chcesz mieć zatem "bezpieczny" (w jakimkolwiek znaczeniu) system, to musisz go w pierwszej kolejności postawić na wspieranym przez upstream kernelu. Szczerze wątpię, by deweloperzy jakiejkolwiek dystrybucji zajmowali się dostarczaniem poprawek bezpieczeństwa do kerneli, których żywot już wygasł.
Ile w Ubuntu jest Debiana? Na tak zadane pytanie odpowiedzi nie ma. Można stwierdzić, że 90% i można, że 10%. Canonical do Ubuntu bierze na żywca pakiety z jakiegoś dnia Sida, a następnie je rozwija (patchuje) sam. Dodaje środowisko, którego w zasadzie w Debianie nie ma. Dostosowuje do niego całe "core" systemu. Biorąc pod uwagę punkt wyjściowy, czyli bezpieczeństwo - sorry, ale chyba nikt z całą stanowczością nie jest w stanie powiedzieć, czy Debian, czy też Ubuntu w określonym dniu, określonego roku jest bardziej, czy mniej "bezpieczne". I to z wielu powodów.

[Diatrom]

Bardzo dziękuję, za wyczerpującą odpowiedź. Temat można uznać za zakończony.

[bgsz]

Według tych źródeł:
1. https://prism-break.org/#pl
2. https://www.gnu.org/philosophy/ubuntu-spyware.html
Debian jest bezpieczniejszy.