Als TUXEDO kürzlich ankündigte, TUXEDO OS künftig auf Debian Testing statt auf Ubuntu LTS aufzubauen, kam schnell eine berechtigte Frage auf: Wie soll das mit den Sicherheitsupdates funktionieren, da Debian Testing über keinen eigenen Security-Kanal wie Stable oder Unstable verfügt? In einem neuen Blogbeitrag erklärt TUXEDO jetzt, wie der Hersteller von Linux-Notebooks und -PCs das lösen will.
Wie Testing funktioniert
Der Knackpunkt liegt im Migrationsprozess von Debian Testing selbst: Pakete wandern aus Unstable (Sid) erst nach einer Mindestwartezeit von wenigen Tagen dorthin, und zwar nur, wenn sie in dieser Zeit keine veröffentlichungskritischen Bugs zeigen, alle Bauprozesse für die unterstützten Architekturen sauber durchlaufen und keine Paketkonflikte auftreten. In der Praxis können zwischen einem Sicherheitspatch in Unstable und dessen Ankunft in Testing zwei bis 14 Tage liegen. Für ein Desktop-System, das täglich produktiv genutzt wird, reicht das den TUXEDO-Entwicklern in Hinblick auf die Sicherheit nicht aus.
Deshalb betreibt TUXEDO eigene Paket-Repositories, in denen die Debian-Basis gespiegelt wird. Bleibt eine kritische Lücke länger offen als vertretbar, greift TUXEDO aktiv ein: Je nach Fall werden bereits gepatchte Pakete direkt aus Unstable übernommen oder eigene Backports gebaut und über die eigene Infrastruktur ausgeliefert, bevor der Fix regulär in Testing landet.
CVE-Monitoring
Grundlage dafür ist ein automatisiertes CVE-Monitoring, das derzeit aufgebaut wird und den Debian Security Tracker sowie weitere öffentliche Datenbanken auswertet. Werden neue Schwachstellen bekannt, gleicht TUXEDO deren Status mit dem eigenen Paketbestand ab und priorisiert entsprechend.
Bei besonders gravierenden Lücken, etwa in einer zentralen Komponente wie sudo, soll ein beschleunigter QA-Prozess dafür sorgen, dass funktionierende Fixes innerhalb weniger Stunden bereitstehen. TUXEDO betont hier den Architekturvorteil gegenüber der Ubuntu-Ära: Statt auf Canonicals Paketierung angewiesen zu sein, hat man jetzt selbst die Kontrolle über den kompletten Update-Prozess.
Btrfs und Snapper
Als Sicherheitsnetz kommt Btrfs in Kombination mit Snapper hinzu: Geht doch mal ein Update schief, lässt sich das System jederzeit auf einen funktionierenden Snapshot zurückrollen, was gerade für Einsteiger ein wichtiges Vertrauenspolster bei Updates und Konfigurationsänderungen darstellt. In den heiklen Phasen kurz vor einem neuen Debian-Stable-Release, dem sogenannten Freeze, beabsichtigt TUXEDO die manuellen Paketprüfungen zusätzlich hochzufahren, um wichtige Fixes gezielt an Migrationsblockaden vorbeizuschleusen.
Ein Punkt, der in der Debatte um Testing als Basis oft untergeht: Die Komponenten mit der größten Angriffsfläche im Alltag – Kernel, Browser und zusätzlich Grafiktreiber – kommen bei TUXEDO OS ohnehin nicht direkt aus Debian Testing, sondern werden unabhängig davon selbst gepflegt. Aus Testing stammt primär der weniger kritische Rest an Bibliotheken und Werkzeugen.
Kernel-Konzept
Auch für das erweiterte Kernel-Konzept gibt es bereits einen Ausblick: Mit linux-tuxedo als Standardkernel und linux-tuxedo-lts als Fallback auf Basis eines Upstream-Longterm-Kernels will TUXEDO eigene Patches bewusst minimal und möglichst upstream-tauglich halten. Details dazu sollen zeitnah in einem eigenen Blogbeitrag ebenso folgen wie Beiträge unter anderem über Btrfs/Snapper und über die weitere Unterstützung für TUXEDO OS auf Ubuntu-Basis.
