AA_pirat2.png

© Cory Thoman, 123RF

Unsichere Datenhäfen

Durchblick im Paketverwaltungsdickicht

Fremde Paketquellen sind populär, da sie Ubuntu, Kubuntu und Konsorten mit aktuellen Programmen ausstatten. Doch die Bequemlichkeit kann ihren Tribut fordern.

Mit seinen Personal Package Archives (kurz PPAs) hat es Ubuntus Hauptsponsor Canonical Entwicklern und Ubuntu-Enthusiasten sehr leicht gemacht, Softwarepakete zu erzeugen und zu verteilen. Die zusätzlichen Paketquellen erfreuen sich großer Beliebtheit. Kaum ein Blog, kaum eine Nachricht zu neuen Softwareentwicklungen, die keinen Hinweis auf fremde Paketquellen enthalten. Dies führt dazu, dass es kaum noch Anwender gibt, die ihr System nicht über zusätzliche Quellen mit aktueller Software versorgen.

Dieser Trend ist nicht wirklich neu: Schon lange existieren in Foren und Blogs rund um Debian und Debian-basierte Distributionen Beiträge, die ellenlang Paketquellen auflisten. Ob man diese unbedingt braucht und wer die Quellen betreibt, spielt dabei kaum eine Rolle. Hauptsache man erhält jedes erdenkliche Paket in einer möglichst neuen Version.

Die Beliebtheit der "fremden Paketquellen" ist schnell erklärt. Gerade Ubuntu-Einsteiger und -Umsteiger sind irritiert, wenn aus der Paketverwaltung installierte Anwendungen scheinbar "veralten" bzw. keine Updates mehr erhalten, obwohl es doch eine neue Version des Programms gibt. Sie greifen dann zu PPAs, um auf dem letzten Stand zu bleiben.

Der Grund für die unterlassene Aktualisierung der Ubuntu-eigenen Quellen ist die Sorge um die Stabilität der Distribution. Der Begriff "Stabilität" wird oft missverstanden: Er bedeutet in diesem Zusammenhang nicht, dass Ubuntu und seine Programm absturzsicher oder fehlerfrei laufen. Der eigentliche Gedanke ist, dass sich an Programmen bzw. der kompletten Distribution nach der Freigabe nichts mehr ändert. Somit dürfen Administratoren darauf vertrauen, dass Anwendungen, die gestern noch liefen, auch morgen – nach einem Update – noch funktionieren. Ubuntu ist keine Rolling-Release-Distribution (siehe Kasten Rolling Releases).

Rolling Releases

Klassische Linux-Distributionen wie OpenSuse, Fedora, Mandriva und natürlich auch Debian/Ubuntu haben feste Release-Zyklen. Zu definierten Zeitpunkten gibt es neue Versionen, in denen die komplette Softwareauswahl aktualisiert wird. Anders arbeiten dagegen so genannte Rolling-Release-Distributionen wie Arch, Foresight, Gentoo oder Sidux. Diese spielen permanent neue Programmversionen ein, so dass es keine "richtige" Versionsnummer der Distribution gibt. Wird dennoch eine Distribution neu veröffentlicht, handelt es sich viel eher um einen Zwischenstand, von dem aus Sie die Distribution bequem installieren.

Tipp

Generell gilt: Installieren Sie Software primär aus den Ubuntu-eigenen Paketquellen. Nutzen Sie so wenig fremde Paketquellen wie möglich! Und wenn, dann nur Quellen, die so wenig Pakete wie möglich bereit halten.

Es gibt natürlich eine Reihe von Kriterien, nach denen Sie Ihr System ruhigen Gewissens um eine Paketquelle ergänzen. Doch zuerst kurz zur Frage, welche Risiken fremde Paketquellen überhaupt für Ihr System darstellen. Immerhin sind sie ja dafür geschaffen worden, zusätzliche Pakete zu installieren bzw. bestehende Pakete zu aktualisieren. Warum gibt es also Gefahren?

Schadprogramme

Die Sicherheit von Linux-Systemen wird von Medien, Blogs und Anwendern Mantra-ähnlich und immer wieder betont. Daran müssen Sie eigentlich gar nicht rütteln: GNU/Linux ist ein sehr sichereres Betriebssystem, doch Sie sollten darauf achten, wem Sie erlauben, Software auf Ihrem System zu installieren und auszuführen. Als Ubuntu-Anwender müssen Sie zwangsläufig Canonical als Hersteller von Ubuntu vertrauen. Und Sie müssen darauf vertrauen, dass die Paketbetreuer die Pakete ordentlich schnüren und Canonical rechtzeitig Sicherheitsschwachstellen behebt.

Es ist auch nicht unangebracht, den Autoren einer bekannten Software und deren offizieller Paketquelle zu vertrauen. Doch wie steht es um das PPA eines unbekannten Benutzers mit wild zusammengewürfelten Paketen? Man muss nicht den Teufel an die Wand malen, doch die wichtigste Sicherheitskomponente Ihres Ubuntu-Systems sind Sie selber. Sie entscheiden, welche Programme aus welchen Quellen auf Ihren Rechner gelangen. Überlegen Sie daher gut, wem Sie Ihr Vertrauen schenken.

Konflikte beim Upgrade

Ubuntu und seine Derivate erscheinen bekanntlich jedes halbe Jahr (im April und Oktober) in einer neuen Version bzw. alle zwei Jahre in einer LTS-Version mit einem Support-Zeitraum von bis zu fünf Jahren. Upgrades sind dabei von Version zu Version (bzw. von LTS- zu LTS-Version) möglich. Schauen Sie zu den Release-Terminen in einschlägige Support-Foren wie Ubuntuusers.de, so schlagen dort viele Anwender mit Problemen beim Upgrade auf.

Oft lassen sich diese Probleme auf den Einsatz fremder Paketquellen zurückführen. Natürlich überprüft Canonical, ob Upgrades zuverlässig funktionieren. Doch diese Tests berücksichtigen nicht den Einsatz fremder Quellen. Daher gibt es keine Garantie, dass die Upgrades weiterhin gut gehen. Nutzen Sie Paketquellen, die tief in das System eingreifen, weil sie neue Versionen wichtiger Komponenten wie dem Kernel, dem X-Server oder essentielle Teile der Desktop-Umgebung ersetzen, kann es beim Upgrade zu Schwierigkeiten oder unerkannten Nebenwirkungen kommen.

Einem Freund empfehlen