COLOSSUS
AdministratorGNUltra
|
debian würde ich weniger empfehlen weil der downstream einfach viel zu groß ist. Bitte erklaere er mir. Magst du vielleicht auch noch die aus deiner Sicht effektiven praktischen Vorteile von SELinux am Desktop darlegen? du musst nur klicken können. und so lang das so ist isses für mich einsteigerfreundlich. du MUSSR NICHT das terminal benützten. also --> einsteigerfreundlich. Muss man heute nirgends mehr, wo man packagekit o. ae. Schlonz (all die "Stores" heute fuer FlatPak, AppImage, Snaps, usw.) vorinstalliert kriegt. Es fragt sich dann nur noch, was genau in diesen "Stores" an Software zur Verfuegung steht.
|
titanz
Bloody Newbie
|
Bitte erklaere er mir. was meinst du? was soll ich erklären? naja, im endeffekt seh ich debian wie centos oder alma an, alle heiligen zeiten mal ein update wobei alma afaik wenigstens etwas regelmäßiger batcht als debian die tlw. drauf gewartet haben, bis ein cve kommt und dann erst die packages frei gegeben haben.
|
COLOSSUS
AdministratorGNUltra
|
Ich kann mit dem Begriff "der Downstream", bzw. deiner quantitativen Verwendung davon, nichts anfangen. Jetzt verstehe ich, glaube ich, was du damit meinst.
Debian (stable) hat, wie RHEL und andere "klassische" Distributionen, einen anderen Fokus als Distros, die nur ein Rolling Release anbieten, oder so wie bspw. Fedora keine 100%ige ABI-und API-Kompatibilitaet als Ziel eines Releases verfolgen. Das kann man schaetzen, muss man aber nicht. Weniger geeignet fuer Anfaenger halte ich Debian deswegen nicht - es wird halt deutlich weniger oft umgeruehrt im Pakete-Pool, naemlich nur dann, wenn es wirklich notwendig ist.
|
davebastard
Vinyl-Sammler
|
Muss man bei diesen Themen immer gleich ins Extreme polarisieren?... keines der genannten OS ist für einen durchschnittlichen Desktop-User overall gesehen auch nur irgendwie unsicherer als z.B. Windows oder MacOSX. und auch keine der genannten Distributionen ist wirklich schlecht. Server ist hier nicht das Thema, keiner wird seinen PC direkt ins Internet hängen, 99% der Desktop User sind hinter einem NAT. Pop!OS hätte ich btw. empfohlen weils einen Tiling Windowmanager Plugin für Gnome gebaut haben (Pop!OS shell) was ein recht cooles Feature ist wie ich finde. In Zukunft solls sogar ein eigenes desktop environment auf Basis von Rust geben. https://www.computerbase.de/2022-12...-desktop-linux/UND es ist einsteigerfreundlich und hat eine Firma dahinter die selber Hardware verkauft wodurch sie auch auf Hardwareunterstützung achten... UND die Pakete sind aktuell, als ich noch debian am Desktop verwendet hab hatte ich aus dem Grund "testing" und nicht "stable" verwendet, um neuere Pakete zu haben. Das ist aber was das ich nicht unbedingt einem Anfänger empfehlen würde. Weniger geeignet fuer Anfaenger halte ich Debian deswegen nicht - es wird halt deutlich weniger oft umgeruehrt im Pakete-Pool, naemlich nur dann, wenn es wirklich notwendig ist. meine erfahrung mit debian bei Anfängern ist dass sie sich das sys zerschießen weil sie irgendwas installieren wollen das eine abhängigkeit auf neuere libraries hat... dann fängts an mit fremdrepos oder einzelnen Paketen aus testing oder unstable usw. usf.
|
titanz
Bloody Newbie
|
Ich kann mit dem Begriff "der Downstream", bzw. deiner quantitativen Verwendung davon, nichts anfangen. Jetzt verstehe ich, glaube ich, was du damit meinst.
Debian (stable) hat, wie RHEL und andere "klassische" Distributionen, einen anderen Fokus als Distros, die nur ein Rolling Release anbieten, oder so wie bspw. Fedora keine 100%ige ABI-und API-Kompatibilitaet als Ziel eines Releases verfolgen. Das kann man schaetzen, muss man aber nicht. Weniger geeignet fuer Anfaenger halte ich Debian deswegen nicht - es wird halt deutlich weniger oft umgeruehrt im Pakete-Pool, naemlich nur dann, wenn es wirklich notwendig ist. verstehe. ja wobei RHEL schon allein aufgrund von selinux etwas mehr "hardened" ist als debian. ich kenne auch keine firmen die wirklich auf debian genau aus dem grund setzen. zumal die updates doch öfter kommen als bei debian weil wie gesagt, debian ist da irgendwie.. fahrlässig könnte man schon fast sagen. das mit dem ABI und PI kompatibilität versteh ich aber dafür weniger. ich find das dass grund genug ist, dass es weniger anfänger geeignet ist - sofern einem seine daten am herzen liegen. zumal du bei debian doch des öfteren packages hinzufügen musst, da sie per default nicht mit dabei sind - was afaik nur über terminal geht. aber das faule absitzen bis der cve offen ist.. meh.
|
issue
Rock and Stone, brother!
|
Deine absolute Geilheit auf SELinux pack ich nicht. Das braucht am Desktop keiner.
edit: Home user that is
|
davebastard
Vinyl-Sammler
|
ja wobei RHEL schon allein aufgrund von selinux etwas mehr "hardened" ist als debian. ich kenne auch keine firmen die wirklich auf debian genau aus dem grund setzen.
zumal die updates doch öfter kommen als bei debian weil wie gesagt, debian ist da irgendwie.. fahrlässig könnte man schon fast sagen.  kann man das auch irgendwie untermauern? btw. ich hab @work nur debian und ganz wenige ubuntu-server im Backoffice... kein einziger is RHEL edit: wie gesagt sinnlos polarisieren, wobeis hier nedmal um server geht.
Bearbeitet von davebastard am 20.01.2023, 19:31
|
titanz
Bloody Newbie
|
das es nicht um server geht ist mir bewusst.
warum sollte keiner selinux bzw. apparmor benötigen?
untermauern kann ich es insofern, weil ich einige bewerbungsgespräche aktuell hatte und mir bisher keine - wenige firmen unterkamen die wirklich was anderes als ein rhel derivat einsetzten.
hängt aber vielleicht auch damit zusammen, weil die meisten gern alles aus einer hand hätten? openshift, ovirt,..
|
COLOSSUS
AdministratorGNUltra
|
Also ich habe mir zu titanzs Meinungen dank der Klarstellungen jetzt soweit eine Meinung bilden koennen, dass ich als Anfaenger auf seinen Rat tendenziell weniger hoeren wuerde als auf jenen von bspw. Philipp  Zu SELinux moechte ich noch sagen: MAC (Mandatory Access Control) kann eine gute Sache fuer die Sicherheits eines Gesamtsystems sein, aber man muss die Limitationen und auch Ziele der Policy verstehen, die man konkret einsetzt (bzw. vorgesetzt bekommt). In einer User-Session mit der Default Policy ("targeted") laeuft z. B. afaik auch heute immer noch jedes durch den User gestartete Programm im "unconfied"-Kontext, der keinerlei MAC-Einschraenkungen enforced. D. h. von SELinux "profitieren" damit in der Praxis die Hand voll Dienste, die man am Desktop eher gar nicht mal installiert (httpd usw.) hat, und die wenn man sie als Service betreibt, von der Policy confined werden. Das kann man imho ziemlich vernaechlaessigen fuer die hier laufende Diskussion. Bei AppArmor gibt es etwas weiter gediehenen Support fuer Desktop-Anwendungen, aber ich hab keine praktische Erfahrung mit der Qualitaet der Policies, die z. B. mit Ubuntu mitkommen. Nur von "Distro X hat Security Module Y aktiv" wuerde ich vor einer genauen Analyse meiner Beduerfnisse keine Entscheidung fuer oder wider X ableiten.
|
titanz
Bloody Newbie
|
ja ist noch immer nur targeted.
wobei die frage ist, was die vms können tun sollen die er hochziehen will. vielleicht sind die als podman erweiterbar? dann erspart er sich auch die performance.
ubuntu hat wieder den snap nachteil und ist overbloated und debian wie gesagt, wartet meist auf einen bestehenden cve obwohl die bugs schon längst eingemeldet sind.. ich bild mir ein, dass sogar lastmiles mit debian probleme hatte und sein bug report einfach geschlossen wurde obwohls nicht gefixt war.
das sind meine rückschlüsse warum fedora oder eher warum fedora silverblue für anfänger, weil bei debian kannst du wiederum kein rollback machen wenn irgendwas mit dem kernel nicht stimmt wie eben mit kernel 6.xx wie dann die ganzen nvidia driver nicht funktionierten.
ich war selber davon betroffen und nutzte leider "nur" fedora und durfte auf updates warten seitens nvidia..
also gehts hier nicht nur rein um die policies.
EDIT:
selbst auf privacyguides.org wird fedora empfohlen - soll jetzt kein grund sein weil x es empfiehlt. meine standpunkte erklärte ich ja bereits.
bin aber selbst mit privacyguides.org nicht ganz konform - speziell bei den vpn anbietern.
Bearbeitet von titanz am 20.01.2023, 20:15
|
chap
small gift, big smile
|
Habts euch doch alle lieb.
Kann man den Thread Closen, bis ich mich mal anfänglich durchgetestet hab?
|
folex
Big d00d
|
Bitte ich bin a Firma und hab Manjaro.... duck und weg
|
erlgrey
formerly known as der~erl
|
Silverblue taugt mir auch recht, wenn man normale Anwendungen (rpms) installiert wird man etwas öfter neustarten, aber das ist schon die schlimmste "Umstellung" im Normalfall. (--apply-live gibt es, geht aber auch ned bei allen Paketen)
Versteh aber nicht warum mit rpm-ostree keine Pakete gesucht werden können, das kann ja ned so kompliziert sein, in eine Toolbox hüpfen für dnf (oder googeln) ist jetzt kein besonderer Aufwand aber irgendwie entbehrlich.
ootb einfach mit grub ein vorges Deployment laden ist halt scho recht leiwand wenn was schief geht beim Update, das erspart potenziell einfach _so_ viel ärger zusammen mit rollback.
Aber ist sicher nicht die Distro die dir "alles" gleich mitliefert, für h.264 HW Decoding musst bei Fedora nun Rpmfusion* aktivieren und mesa-va-drivers-freeworld installieren, spielt bei Flatpaks (noch) keine Rolle also nur für die gelayerten rpms, wennst Gnome und VRR willst brauchst copr.
Silverbluespezifisch, beim nächsten os upgrade, also rebase, solltest das halt alles wieder aufräumen. Rpmfusion hats das rebasen _jedes_ mal bei mir aufgstellt.
Bearbeitet von erlgrey am 20.01.2023, 20:48
|
nexus_VI
Overnumerousness!
|
Das Feature einfach einen vorherigen Snapshot aus GRUB zu laden gibts aber auf anderen Distributionen auch, e.g. Manjaro macht das wenn man btrfs als Filesystem wählt.
|
COLOSSUS
AdministratorGNUltra
|
ootb einfach mit grub ein vorges Deployment laden ist halt scho recht leiwand wenn was schief geht beim Update, das erspart potenziell einfach _so_ viel ärger zusammen mit rollback. Ich verstehe den Appeal davon in der echten Welt einfach nicht. Ich bin jetzt seit mehr als 20 Jahren GNU/Linux-User, und hab im beruflichen Teil dieser Zeit auch schon recht kritische bzw. lukrative Systeme, wo man v. a. ungeplante Downtimes zu vermeiden trachtete, umfassend betreut und dabei das eine oder andere als heikel einzustufende Upgrade geplant und umgesetzt - und ich hatte NOCH NIE bei der tatsaechlichen Durchfuehrung das Beduerfnis bzw. gar die Notwendigkeit, ein "Rollback" zu machen. Kein einziges Mal. Zumal in einem komplexeren System(gefuege) das Downgrade/Rollback einer einzigen Box oder einer Klasse von Boxen, die ein Service hostet, ggf. auch gar nix bringen kann - einfach weil die Daten, die durch Upgrades anderer Komponenten schon irreversibel manipuliert werden mussten, und die nicht mit der alten Version der Boxen/Services kompatibel sind. Wenn alles, was du betreust, irgendwelche zustandslosen Scharen von Boxen sind, dann mag das ein ganz praktisches Feature sein - aber meiner Meinung und Erfahrung nach greift das Gebotene/Versprochene im Endeffekt zu kurz, um ein Level an Sicherheit und verlaesslichen doppelten Boden gewaehren zu koennen, wie man ihn sich WIRKLICH wuenschen wuerde, bzw. um guten Gewissens von einem sorgsam planenden Umgang mit IT zu einem "schauma amoi, daun segma scho"-Ansatz umsatteln zu koennen.
|
Anmeldung