antiX ist eine leichtgewichtige Distribution auf der Basis von Debian Stable. Jetzt erschien antiX-19 mit dem Unterbau von Debian 10 »Buster«, aber wie gehabt ohne Systemd. Ich habe mir die »Full«-Variante angeschaut.
Die einst aus Mepis hervorgegangene Distribution eignet sich nicht nur für aktuelle Hardware, sondern harmoniert auch vorzüglich mit älteren Computern mit dem x86-Befehlssatz ab dem Intel Pentium III, der noch knapp aus dem letzten Jahrtausend stammt.
Anspruchslos
Die Entwickler empfehlen mindestens 256 MByte RAM und zum Installieren eine Mindestfestplattengröße von 2,7 GByte. Nach dem Start belegt das System knapp unter 150 MByte RAM. Die Installation gelingt auch auf einem USB-Stick mit oder ohne permanente Datenspeicherung.
Abgehangene Paketauswahl
Kommt bei Debian Systemd zum Zug, so setzt antiX auf dessen Vorgänger SysVinit als Init-System. Der Desktop wird von dem wieselflinken IceWM gestellt. Als Kernel wird 4.9.193 verwendet. Das Büropaket LibreOffice ist in Version 6.1.5-3 vorinstalliert, während zum Browsen Firefox-ESR 60.9 zum Einsatz kommt. Für tadellosen E-Mail-Empfang sorgt Claws-Mail 3.17.3-2.
Gute Auswahl
Darüber hinaus bietet antiX-19 eine große Auswahl an Anwendungen aus allen Sparten, oft mehrere Anwendungen für einen Zweck. Diese kann man entweder im Menü finden oder über die Anwendung App Select direkt anspringen und starten, indem man dort einen Suchbegriff wie Office oder Video eingibt.
antiX-19: klein, aber fein
Die Konfigurationsmöglichkeiten erscheinen fast überbordend. Um beispielsweise alle Themes auszuprobieren, vergeht bestimmt eine halbe Stunde. Auch die Varianten an Fenstermanagern sind überwältigend. Aber Linux steht in dieser kleinen, aber feinen Distribution auch für Vielfalt.
antiX-19 liegt in vier Varianten in jeweils 32- und 64-Bit zum Download vor. Auf Torrents muss man noch etwas warten. Neben der Vollversion mit 1,1 GByte stehen antiX-base mit 700 MByte, das halb so große antiX-core sowie antiX-net mit 200 MByte und ohne X-Server zur Verfügung.
MX-19 steht vor der Tür
In den nächsten Tagen darf auch mit der Freigabe der stabilen Version von MX-19 gerechnet werden, ein Release-Kandidat liegt bereits vor. MX Linux ist eine Gemeinschaftsproduktion der Communities von antiX und Mepis.
Netrunner ist eine auf Debian-Testing basierende Distribution, die den Plasma-Desktop von KDE favorisiert. Sie wird vom Bielefelder Unternehmen Blue Systems des Philantropen Clemens Tönnies Jr. herausgegeben. Blue Systems beschäftigt einige renommierte von KDE-Entwicklern und unterstützt neben Netrunner noch weitere KDE-Projekte.
Neues Design
Netrunner 19.1 »Blackbird« bietet ein frisches Design, das auf der Kvantum-Theme-Engine und dem Plasma-Theme »Alpha-Black« basiert. Hellere Töne lassen sich mit dem vorherigen Theme wieder einstellen.
Aktuelle KDE-Pakete
Der Plasma-Desktop wird bei Netrunner 19.1 von den aktuell in Debian-Testing verfügbaren Komponenten Plasma 5.14.3, KDE Frameworks 5.51 und KDE Applications 18.08 dargestellt. Die Pakete sind mit Qt 5.11 gebaut.
Weitere Zutaten sind Kernel 4.19, Systemd 240-2, Firefox 64.0 mit Plasma-Integration-Addon sowie Thunderbird 60.3. und LibreOffice 6.1.4. Als Paketmanager kommt Synaptic zum Einsatz. Konsolenfreunde freuen sich über das Dropdown-Teerminal Yakuake.
Gut ausgestattet
Netrunner geht bei den vorinstallierten Paketen jedoch über die übliche Auswahl hinaus und liefert auch Apps wie Handbrake zur Video-Konvertierung, das Vektorgrafikprogramm Inkscape, den Audio-Player Yarock, den X11VNC-Server sowie Steam, Skype und VirtualBox vorinstalliert mit aus. Neu im Konzept sind auch die eingebundenen Web-Apps wie Opendesktop, HookTube und andere.
Recht hungrig
Der Plasma-Desktop ist in seiner fünften Inkarnation recht sparsam, was den Ressourcenverbrauch angeht. Das kann man von Netrunner allerdings nicht behaupten, denn das Image belegt im Live-Modus gleich nach dem Start rund 1,2 GByte Hauptspeicher und ist somit erst ab vier GByte RAM inm akzeptabler Ausführungsgeschwindigkeit nutzbar.
Netrunner Stable oder Rolling
Images mit rund 2,7 GByte Größe sind im Download-Portal von Netrunner für 64-Bit verfügbar. Dort finden sich auch eine Rolling-Release-Variante, die auf Manjaro basiert sowie einige ältere Abbilder. Zwei Images für die ARM-Plattform sind für das Pinebook und für den Platinenrechner Odroid C1/c1+ verfügbar.
Der IT-Berater Enrico Weigelt hat ein Sicherheitsproblem bei der Installation von Microsofts Microsofts Skype-Paket für Debian und seine Derivate entdeckt. Das ermöglicht unter Umständen das Einschmuggeln von bösartigen Paketen bis hin zur kompletten Übernahme des Rechners.
Ungefragter Eintrag
Das Paket schreibt bei der Installation ungefragt den Eintrag https://repo.skype.com/deb stable main in die sources.list und ermöglicht damit die Aktualisierung des Pakets durch Microsoft. Das dabei entstehende Problem ist, dass Microsoft oder jemand, der den entsprechenden privaten Apt-Repository-Schlüssel hat, freie Hand hat, unbemerkt bösartige Pakete zu installieren.
Canonical-Mitarbeiter Seth Arnold weist auf weiteres Gefahrenpotenzial hin, wenn er anmerkt, dass durch die Tatsache, dass viele an einer Paketinstallation unter Debian beteiligte Scripte mit vollen Root-Rechten laufen, Microsoft oder andere Dritte einen Rechner komplett übernehmen könnten.
Nichts Neues
Warum Weigelt jetzt das Skype-Paket als unsicher anmahnt, erschließt sich nicht ganz, denn das nicht tolerierbare ungefragte Eintragen in die Quellenliste bei der Installation von Drittanbieter-Paketen in Debian ist nichts Neues. Googles Browser Chrome tut das schon immer, ebenso wie Vivaldi und andere. Dass das nicht sein muss, zeigt Hersteller Opera, der während der Installation nachfragt, ob der Eintrag gewünscht ist.
Reale Gefahr
Ob man nun Google mehr vertraut als Microsoft oder anderen Softwareschmieden bleibt jedem selbst überlassen. Aber selbst wenn dort kein böser Wille unterstellt wird, wäre es nicht das erste Mal, dass böswillige Hacker sich Firmengeheimnisse beschaffen. Ich denke dabei etwa an die mit einer Backdoor versehenen gefälschten Images bei Mint Linux im Februar. Die Gefahr, die Weigelt hier beschreibt, ist also durchaus real.
Schaden verhindern
Er beschreibt deshalb einige Maßnahmen, um die Gefahr zu bannen. Dazu zählt das Entfernen des Eintrags aus der Quellenliste ebenso wie das Kompilieren des Pakets ohne die Routine zum Erstellen des Eintrags. Darüber hinaus lässt sich das Paket per Apt-Pinning darauf festnageln, lediglich skypeforlinux zu aktualisieren. Schließlich sieht Weigert noch die Möglichkeit, das Paket via Docker oder LXC in einen Container zu sperren.
Abgeschottet
Wenn Alternativen zu Skype nicht in Frage kommen, sehe die Installation von Skype per Flatpak als die bessere Lösung an, da hier die Anwendung bereits durch die Sandbox limitiert ist und beim Aktualisieren keine Möglichkeit besteht, Schaden außerhalb des Pakets anzurichten. Ubuntu-Anwender bevorzugen hier eventuell das Snap von Skype.
SUSE feierte vor rund einem Jahr den 25. Geburtstag, Slackware blickte vor wenigen Wochen auf ein Vierteljahrhundert Entwicklung zurück. Heute nun vor 25 Jahren kündigte Ian Murdock im Usenet auf comp.os.linux.development die bevorstehende Fertigstellung einer neuen Linux-Veröffentlichung an, der er den Namen Debian gab. Der Name setze sich aus seinem und dem Vornamen seiner Freundin Debra zusammen. Murdock hatte die damals erste Linux-Distribution Softlanding Linux System benutzt und war mit einigem unzufrieden. Nach einer Zeit der Erweiterung des Vorhandenen entschloss er sich, ein System »from scratch«, als von vorne zu erstellen. Debian 0.01 wurde dann am 15. September 1998 veröffentlicht.
Oldtimer ohne Chef
Heute ist Debian die älteste der großen Linux-Distributionen, hinter der kein Unternehmen steht. Die rund 1.000 freiwilligen Entwickler leiten die Distribution nach dem Prinzip der Do-okratie. Das bedeutet in etwa: »Wer macht, bestimmt«. Das verlängert zwar Entscheidungen oft über Gebühr durch nicht enden wollende Diskussionen. Aber bisher hält Debian an diesem Prinzip trotzt einiger heftiger Krisen, deren letzte die Entscheidung für Systemd brachte, fest.
Gut geregelt
Den Rahmenbedingungen dieses oft chaotisch wirkenden Haufens bieten einige Richtlinien. Der Debian-Sozialvertrag, der eine Vision der Verbesserung der Gesellschaft bietet, beinhaltet auch die Debian-Richtlinien für Freie Software (DFSG), die Anhaltspunkte dazu geben, welche Software als brauchbar angesehen wird. Ergänzt werden sie durch die Projektverfassung, die die Projektstruktur festlegt, und den Verhaltenskodex, der den Ton für die Interaktionen innerhalb des Projekts vorgibt.
Stable, Testing und Unstable
Debians aktuelle Veröffentlichung hört auf den Namen Debian 9 »Strech«. Alle Veröffentlichungen tragen Namen von Figuren des Films Toy Story, so auch das für nächstes Jahr erwartete Debian 10 »Buster«-. Viele Anwender nutzen aber auch einen der anderen Zweige Testung oder Unstable aka Sid, was nach dem Jungen benennt ist, dessen Lieblingsbeschäftigung das Zerstören von Spielzeug ist. Früher stimmte diese Analogie durchaus, heute ist das nach dem Rolling-Release-Prinzip operierende Unstable aber relativ zahm und mit ein wenig Linux-Kenntnissen gut zu benutzen.
Dementsprechend gibt es seit Jahren einige Distributionen wie etwa Siduction, Xanadu oder das auf Router und Firewalls spezialisierte VyOS, die Debian Unstable erfolgreich als Basis nutzen. Insgesamt gibt es über 300 Distributionen, die Debian als ihre stabile Basis benutzen. Darunter sind auch Knoppix, dass das Prinzip von Live-CDs populär machte und Ubuntu, das eine Zeitlang die vermutlich am häufigsten genutzte Distribution war.
Debian GNU Linux wird 25 50!
Bisher konnte sich Debian immer an die Gegebenheiten und Erfordernisse des Marktes anpassen. So wurde vor drei Jahren Langzeitunterstützung realisiert, wodurch Debian-Veröffentlichungen nun insgesamt fünf Jahre Support erhalten und damit für Unternehmen interessant bleiben. Es besteht deshalb kein Grund anzunehmen, dass Debian nicht auch die 50 vollmachen kann.
Einige große Distributionen befinden sich seit geraumer Zeit im Umbau, um auf veränderte Herausforderungen in der IT zu reagieren. Sowohl Fedora als auch openSUSE haben sich in den letzten Jahren von Grund auf neu aufgestellt. Fedora teilte die Distribution in drei Teile für Desktop, Server und Cloud auf und arbeitet weiter an der Modularisierung. openSUSE verankerte Tumbleweed sehr erfolgreich als offizielle Rolling-Release-Variante und setzte obendrauf mit openSUSE Leap einen Hybriden, der sein Basissystem aus der Mutter-Distribution SUSE bezieht und den Rest aus Tumbleweed hinzufügt.
Debian unzufrieden
Jetzt scheint auch Debian an einem Punkt angelangt, an dem eine Kurskorrektur ansteht. Schon seit Jahren sieht sich Debian, eine der ältesten Distributionen am Markt, zunehmend in der Situation, hauptsächlich als Basis für einige Hundert Derivate zu dienen und seine ursprüngliche Ausrichtung zu verlieren. Auch die Einführung von länger unterstützten Veröffentlichungen, die für die Distribution ein Kraftakt war, konnte an der Situation nichts ändern. Während ein Teil der Entwickler die Positionierung als Basis für andere Distributionen als akzeptabel empfinden, scheint nun eine andere Fraktion die Oberhand zu gewinnen, die diesen Zustand nicht hinnehmen will.
Rolling Release als Lösung
Aus gut unterrichteter Quelle ist zu erfahren, dass Debian plant, die für Desktop-Nutzer oft etwas angestaubte Variante Stable, die bisher als einzige veröffentlicht wird, um eine weitere Veröffentlichung auf der Basis von Debian Unstable aka Sid zu bereichern. Das würde dann in etwa dem Entwicklungsmodell von openSUSE mit Tumbleweed oder Red Hat mit Fedora entsprechen. Zudem ist eine schmale Variante für Cloud und Container unter dem Begriff Debtainer angedacht.
Chance für Entwicklungsimpulse
das inoffizielleDebian Unstable wird zwar von vielen Entwicklern genutzt, dient auch etwa dem Derivat Siduction als Basis, hat aber insgesamt nicht die Verbreitung wie die eben genannten Beispiele der Mitbewerber. Debian erhofft sich von dem geplanten Schritt eine breitere Basis an Benutzern für die Rolling-Release-Variante und verbindet damit die Hoffnung auf neue Impulse für die Entwicklung. Wie die neue Ausrichtung technisch umgesetzt wird und wie die zusätzliche Arbeitslast geschultert werden soll ist noch nicht ausgearbeitet.Auch ein genauer Termin ist noch nicht festgelegt.
Auf der Debian-Entwickler-Mailing-Liste wird seit einigen Tagen in dem Thread What can Debian do to provide complex applications to its users? ausgiebig über ein Problem diskutiert, das im Kern die saubere Paketierung von komplexen Anwendungen in Debian betrifft, die meist aus dem Bereich Web-Applikationen stammen. Dabei geht es beispielsweise um Applikationen. die auf die Plattform Node.js und deren Repository NPM setzen. Es ist nicht das erste Mal, dass Debian diese Probleme diskutiert, die im Endeffekt auch die eigene Relevanz in der Zukunft der Linux-Distributionen betreffen.
Debian diskutiert neue Entwicklungsmodelle
Die Welt der Software-Entwicklung verändert sich seit Jahren rapide außerhalb des Debian-Ökosystems. Ein aktueller Trend in der Software-Entwicklung ist die Verwendung von Programmiersprachen, oft interpretierte Hochsprachen, kombiniert mit der intensiven Nutzung von Drittanbieter-Bibliotheken und einem sprachspezifischen Paketmanager für die Installation von Bibliotheken durch Entwickler und den Systemadministrator, der die Software für die Produktion installiert. Dadurch werden Linux-Distributionen zunehmend umgangen.
Nicht kompatibel
Debians Richtlinien kollidieren hier häufig mit der gebotenen Aktualität bei dieser Art von Anwendung. Sicherheit ist dabei ein wichtiges Thema. Es wird in dem Thread unter anderem zu Recht bemängelt, dass Quelltext und Copyright-Informationen der in Web-Applikationen häufig verwendeten unzähligen JavaScript-Bibliotheken von Upstream oft nicht angegeben oder gar unbekannt sind, was in Debian prinzipiell unakzeptabel ist. Darüber hinaus werden JavaScript-Bibliotheken als Abhängigkeiten in solchen Anwendungen häufig aktualisiert, während in Debian noch eine ältere Version der Bibliothek Standard ist und somit die Anwendung bricht.
Viele Upstream-Entwickler solch komplexer Anwendungen ziehen es zunehmend vor, wegen der als restriktiv angesehenen Richtlinien nicht mit Debian zusammenzuarbeiten. Dabei geht es oft um Anwendungen, die neben JavaScript auf PHP, Python, Ruby oder Golang setzen. Die kurzen Supportzeiträume dieser Frameworks und Sprachen passen nicht mit Debians Philosophie zusammen. Ein weiteres Problem ist die Minifizierung, die neben CSS besonders bei JavaScript angewendet wird, um eine beschleunigte Ausführung des Codes zu erreichen. Dies ist aber nicht konform mit Debians Social Contract und ergibt im Ergebnis unwartbaren Quellcode. Deshalb sehen auch Debians FTP-Master und das Technical Comitee minifizierten Code als für Debian unbrauchbar an.
Weiterhin spielt das Thema Vendoring eine Rolle. Vendoring ist die Erstellung einer eigenen Kopie von Bibliotheken, die ein Upstream- Projekt verwendet. Diese Kopien werden traditionell in jedem Projekt platziert und dann im Projekt-Repository gespeichert. Gibt es in einer der Original-Bibliotheken ein Sicherheitsproblem, so wird die »vendored version« oft nicht oder viel zu spät aktualisiert. Auch das entspricht nicht Debians Richtlinien.
Debian-Paket oder externe Anwendung?
Das Dilemma, vor dem die Entwickler und Anwender hier stehen ist nicht leicht zu lösen. Fällt die Wahl auf das Debian-Paket einer Anwendung (sofern eins existiert), so kann meist die gebotene Aktualität, die bei Web-Anwendungen besonders wichtig ist, nicht gewährleistet werden oder die Anwendung bricht bei der Aktualisierung.
Als Alternative kann der Anwender auf die Upstream-Version zurückgreifen, bei der es gleich mehrere Unbekannte gibt. Sie wird meist mit einem eigenen Installer wie Pip im Fall von Python oder NPM für das allgegenwärtige Node.js. Diese Installer schaufeln Code auf die Rechner, der in keiner Weise einer Verifizierung unterliegt, wie das für Debian-Repositories der Fall ist. Andererseits handhaben diese Installer oft Hunderte von Abhängigkeiten, die ein Debian-Maintainer zeitlich gar nicht bewältigen kann.
Container oder Flatpaks
Welche Lösungen gibt es für diese Problematik? Und ist Debian flexibel genug, um mögliche Lösungen umzusetzen? Das sind Fragen, die nicht nur im Thread selbst, sondern auch in den Blogs der beiden Debian-Urgesteine Lars Wirzenius und Joey Hess aufgegriffen werden. Ein diskutierter Lösungsansatz ist die Verwendung von Containern oder Flatpaks innerhalb der Debian-Infrastruktur für solche Anwendungen. Denkbar wäre auch ein Repository für solche Pakete, ähnlich denen für contrib und non-free. Hier müsste klar vermittelt werden, dass für solch ein Repository keine Sicherheitsunterstützung gewährleistet wird.
Vision für die Zukunft?
Eine andere Möglichkeit wäre, Pakete in mehreren Versionen zuzulassen wie das beispielweise für C-Bibliotheken, GCC, Python und andere schon länger der Fall ist. Der Blick richtet sich zudem auf Distributionen wie NixOS, die nicht der traditionellen Verzeichnisstruktur des Filesystem Hierarchy Standard folgen. NixOS erlaubt mehrere Versionen einer Anwendung gleichzeitig, wobei jede Version der Anwendung ihre Dateien in einem eigenen Verzeichnis ablegt. Alle vorgebrachten Ideen drohen aber an der fehlenden Entwickler- und Betreuerzeit in Debian zu scheitern.
Das vorliegende Problem betrifft aber auch die Relevanz von Debian. So formuliert denn auch ein Entwickler:
[su_quote style=“flat-light“ cite=“Vincent Bernat“ url=“https://lists.debian.org/debian-devel/2018/02/msg00343.html“] I have the […] feeling Arch is taking away our desktop users, Ubuntu is taking away our cloud users, Alpine is taking away our container users and CoreOS/Atomic Host are taking away users interested by container orchestration solutions.[/su_quote]
Freie Software weiter tragfähig?
Tritt man etwas weiter zurück, so sieht es auf längere Sicht für Linux-Distributionen in ihrer jetzigen Form insgesamt nicht rosig aus. Viele junge Entwickler scheren sich nicht mehr um Werte wie Lizenzen, lesbaren und dokumentierten Quellcode oder nachvollziehbare Copyright-Angaben. Wenn allerdings das Modell der Distributionen nicht mehr tragfähig ist, worauf wollen Entwickler freier Software dann ihre Anwendungen laufen lassen?
