Ist Fedora Linux ein Widerspruch zu OpenSource?


Nach langer Abstinenz habe ich Fedora Linux nochmal eine Chance gegeben. Will man es in einer virtuellen KVM Umgebung installieren benötigt man zunächst die 1,3 GB große ISO Datei und muss nach Ausführen des „dnf upgrade“ Befehls erneut 800 MB an Aktualisierungen herunterladen. Die Nutzung der Qemu Umgebung geht wie folgt:

qemu-img create -f qcow2 BOOTSYSTEM.img 20G
qemu-system-x86_64 -hda BOOTSYSTEM.img -cdrom DATEINAME.iso -boot d -m 1024 -enable-kvm -show-cursor

Der Zusatz „-show-cursor“ ist nötig für Ubuntu Anwender, damit in dem Fenster der Mauscursor zu sehen ist und man sieht auf welchen Button man klickt. Gegenüber der letzte Probeinstallation von vor rund einem Jahr hat sich das Install-Menü nicht großartig verändert. Diesmal trägt Fedora die Bezeichnung 25 und wird 13 Monate mit Sicherheitsupdates versorgt. Eine LTS Version wie in Ubuntu gibt es nicht. Man kann höchstens ein CentOS einsetzen, allerdings ist selbst die aktuelle Version hoffnungslos veraltet.

Das generelle Problem von Fedora ist die enge Verzahnung mit Redhat. Redhat wiederum ist kommerzielles Linux was pro Jahr 300 US$ kostet, will man es installieren. Anders als in der Debian Community wird Geld verdienen groß geschrieben. Auch Fedora ist nach dieser Philosophie aufgebaut. Während ein normales Ubuntu Linux mitunter verspielt wird, sieht der Fedora Desktop sehr professionell aus. Auch die Versorgung mit der neuesten Software ist sehr gut.

Schauen wir mal zurück in den 1980’er in die Anfangszeit der GNU Bewegung. GNU wurde als Gegenbewegung zu kommerziellen UNIX Systemen allen voran SCO gegründet. GNU/Linux ist frei und offen während propritäre UNIX verschlossen und kommerziell sind. Bei Fedora und Redhat versucht man einerseits kommerziell zu sein, gleichzeitig aber auch OpenSource. Ob das gutgeht? Das ist derzeit unklar. Aber genauso unklar ist, ob der Ansatz von Debian der richtige ist. Dort ist man ganz bewusst nichtkommerziell, nutzt aber gerne Technologien wie Firefox oder kvm welche von kommerziellen Softwareentwicklern programmiert wurden. Auch Debian ist eigentlich ein Widerspruch. Die Frage ist wohl für den Anwender, welchen Widerspruch er eher erträgt. Will er Redhat, die zwar sagen sie machen Linux in Wahrheit jedoch Milliarden Supportverträge mit Großkonzernen und Banken abschließen, oder will er Debian, die sagen sie wären professionell aber wo es seit Monaten keine Updates mehr gab, weil die Maintainer sich gerade zerstritten haben.

Was sich über Linux-Distributionen zumindest sagen lässt, ist dass der Ansatz von ArchLinux mit einer Rolling-Release Distribution zu trumpfen nicht funktioniert. Rolling Release ist nochnichtmal für die absoluten Experten geeignet, weil dort immer die Gefahr besteht, dass entweder der Computer kaputt geht, oder das System nach dem Update nicht mehr bootet. Insofern kommt nur Stable Release in Frage. Das bietet sowohl Debian, Ubuntu, Redhat und Fedora an.

Nach eigener Aussage hat Fedora derzeit 1,2 Mio Anwender. Überwiegend Leute aus der professionellen Softwareentwicklung. Eine Dokumentation auf Deutsch gibt es nicht, und selbst auf Englisch gibt es keine aktuellen Buchveröffentlichungen. Alles was es gibt, sind HTML Hilfeseite und Foreneinträge. Generell ist Fedora der Gegenspieler von ubuntu. Ubuntu nutzen alle, aber wirklich gut ist das System nicht. Fedora nutzen nur wenige, es ist unklar warum das so ist.

LIZENZKOSTEN
Wenn man sich durch die Untiefen der Redhat Lizenzen gräbt wird man entdecken dass es zwei Preismodelle gibt. Einmal Redhat Linux mit Support was ungefähr 300 US$ pro Jahr und Server kostet und dann gibt es noch Redhat Linux mit Self-Support. Damit ist nicht etwa CentOS gemeint, sondern das originale Redhat. Das kostet 172 EUR im Jahr und ist über Händler wie ixsoft.de erhältlich. Apropos Händler. Interessant ist, dass man Redhat nicht nur als Server Betriebssystem sondern auch als Workstation / Desktop einsetzen kann. Die Desktop Version kostet 85 EUR pro Jahr und Gerät. Wie sind diese Preise einzuordnen? Im Vergleich zu Ubuntu ist das sehr teuer. Ubuntu gibt es bekanntlich kostenlos, na fast. Wenn man es auf Servern einsetzt muss man ebenfalls bezahlen. Im Vergleich zu Windows ist Redhat jedoch preiswert. Eine Windows 10 Volumenlizenz für Desktops wird derzeit für 49 EUR verkauft, und das nur für das Betriebssystem. Wenn man noch Programmiersprachen, Datenbanken und Grafikprogramme benötigt bezahlt man sehr viel mehr. Insofern lässt sich sagen, dass die Redhat Preise niedrig sind.

Bleibt noch der alte Streit zu klären ob Redhat oder Ubuntu das bessere System für Firmen ist. Fakt ist, dass keine größere Firma Ubuntu einsetzt und es auch nicht geplant ist. Während Redhat von sehr vielen Firmen und Behörden verwendet wird. Komischerweise wird das in der Linux-freundlichen Presse jedoch nur selten thematisiert. Eine neue Version von Redhat und Fedora erscheint bei heise.de nur als Notiz, stattdessen ist dort Ubuntu der Star. Aber gehen wir mal auf die technischen Unterschiede ein. Bei Betriebssystemen ist das Hauptproblem die Updateproblematik, also wieschnell Sicherheitsaktualisierungen bereitgestellt werden. Hier ist Ubuntu und Debian erwiesenermaßen sehr schlecht. Der dort verwendete Bugtracker zeigt es auf: unzählige ungestopfte CVE Lücken befinden sich im System. Für den Produktiveinsatz nicht empfehlenswert. Ganz anders bei Redhat, dort werden CVE Patches zeitnah, das heißt 1 Tag später bereitgestellt. Was heißt das konkret?

Wenn ein Hacker eine Sicherheitslücke findet die noch keine CVE Nummer hat (ein sogenannter Zero-Day-Exploit) kann er damit sowohl Redhat als auch Ubuntu angreifen. Er kann in den Server hineinschneiden wir mit einem warmen Messer durch Butter und sämltiche Kundendaten inkl. Kreditkarteninformationen abgreifen als wäre es das leichteste auf der Welt. Gegen Profihacker ist also auch Redhat machtlos. Aber, wenn ein Hacker lediglich hobbymäßig unterwegs ist, und sich eine bekannte Sicherheitslücke aussucht, die schon mit einer CVE Nummer versehen ist und die in Metasploit womöglich schon mit Angriffscode flankiert wurde, dann wird er damit zwar ein Ubuntu System angreifen können, nicht jedoch einen Redhat Server.

Vom Entwicklungsmodell machen weder Debian noch Ubuntu Anstalten, daran etwas zu ändern. Wenn ich die Community richtig verstehe, will sie weiterhin zahlreiche CVE Lücken ungepatcht belassen. Das macht es leicht wenn man auf der Suche ist nach einem professionellen Betriebssystem. Man hat die Wahl zwischen einem kostenlosen Debian, was angreifbar ist, oder einem perfekt gepatchten Redhat was 200 EUR im Jahr kostet.

Wenn ich die aktuell verfügbaren Informationen richtig interpretiere ist die Sachlage sehr klar. Vom technischen her ist Redhat das einzige empfehlenswerte Linux System. Dort erhält man Sicherheitsupdates, und eine Stable-Release Distribution. Gleichzeitig gibt es jedoch zu Ubuntu und Linux Mint unglaublich viel Dokumentation und auf Konferenzen werden diese Distributionen vorgestellt, während es zu Redhat keinerlei Informationen gibt.

Machen wir es etwas konkreter. Der Ubuntu Bugtracker listet alle CVE Probleme für den Chromium Browser auf:
https://people.canonical.com/~ubuntu-security/cve/pkg/chromium-browser.html

In dem Ubuntu Bugtracker steht als Anmerkung, dass es Sicherheitsprobleme mit niedriger Priorität wären, die noch überprüft werden müssen. Ein Fix ist aktuell nicht vorhanden, selbst wenn man brav „apt-get update“ eingibt. Leider heißt das, dass Chromium im aktuellen Ubuntu verwundbar ist. Wenn man auf eine präparierte Webseite klickt ist der PC angreifbar.

Auf einem Redhat System hingegen sind die Probleme beseitigt, dort ist die aktuelle Version vorhanden von Chromium. Das ist der Hauptunterschied zwischen Ubuntu und Redhat und der Grund warum die eine Distribution umsonst ist die andere aber nicht. Anders formuliert, wer Ubuntu für den Unternehmenseinsatz empfielt hat etwas grundsätzlich noch nicht verstanden.

Das komische ist, dass diese Problematik bisher in der Literatur sich nicht wiedergespiegelt. Egal ob man die deutschen Computermagazine oder die us-amerikanischen Pendants befragt, gilt dort Ubuntu als sicheres System. Das Ding ist, dass man theoretisch ein Linux tatsächlich sicher machen kann, wenn man alle Patches einspielt. Im Upstream sind die Sicherheitsprobleme gefixt. Das Problem ist nur, dass außer bei ArchLinux und Redhat keine andere Distribution sich daran hält. Das heißt, bei Ubuntu gibt es eine Verzögerung von mehreren Monaten. Solange sind die Desktops und Server angreifbar.

Warum genau ist eigentlich die Berichterstattung über Redhat so negativ? Erstens, gilt das System als schwerer zu bedienen als Ubuntu und zweitens schreckt der hohe Preis viele Privatanwender ab. Aber, wenn man etwas genauer hinschaut ist so schlecht das System nicht. Der Preis von 200 EUR pro Jahr und Server ist im Business Bereich akzeptabel und Privatuser können sich Fedora kostenlos installieren. Die Bedienung ist nur deshalb kompliziert weil es keine Handbücher dazu gibt.

Die generelle Frage die sich die Linux-Community beantworten muss ist, ob es möglich ist einerseits eine kostenlose Distribution zu bauen und dafür auch tagesaktuelle Sicherheitsupdates bereitzustellen. Normalerweise heißt die Antwort auf diese Problematik RollingRelease. Aber ArchLinux funktioniert nur auf dem Papier gut, in der Praxis ist es dysfunktional. Redhat ist tagesaktuell und eine stableRelease-Distribution kostet aber Geld. Debian ist stable-Release und kostenlos, dafür aber nicht tagesaktuell.

ZUKUNFT
Aktuell ist der Marktanteil von Linux auf dem Desktop bei rund 1%. Frage: kann man Firmenkunden überreden Ubuntu zu nutzen? Eher nicht. Ubuntu ist nicht das, was Firmen wollen, es gibt dort keine Lizenzen die man erwerben kann, es gibt auch keinen Support und die Sicherheitslage ist schlechter als unter Microsoft Windows. Was man jedoch anstreben kann ist die Business Welt auf Redhat zu migrieren. Und man kann versuchen Privatleute auf Fedora zu migrieren. Es macht keinen Sinn zwei Linux-Distributionen zu pflegen (eine für Firmen und eine Debian basierende für Privatleute).

Das Kernelement von Linux und GNU war nie dass man damit kein Geld verdienen darf, sondern das Kernelement war, dass der Sourcecode umsonst sein muss. Das ist bei Redhat der Fall. Meiner Einschätzung nach braucht man nicht Redhat und Debian sondern es reicht wenn man ein Linux und eine Distribution hat.

Ironischerweise besteht das Problem beim Vergleich Fedora vs. Ubuntu darin, dass beide Systeme zu viel Ähnlichkeit besitzen. Es schwer zu sagen, was die jeweiligen Eigenheiten sind. Ubuntu Server ist für den kommerziellen Markt orientiert, während Fedora als Zielgruppe Hobbymusiker hat, die nebenbei auch Videos auf Youtube schauen. Wichtig wäre es zunächst einmal herauszuarbeiten, was der Kern der beiden Lager ist. Um dann zu ermitteln was passiert, wenn man mehr Fedora bzw. mehr Ubuntu macht. Meiner Recherche nach bedeutet mehr Ubuntu, dass Hippies in einer Commune einen eigenen Staat gründen. Sich also als Gegenbewegung zur normalen Gesellschaft verstehen. Während mehr Fedora bedeutet, dass man noch sehr viel intensiver das Lizenzierungsmodell voranbringt und neue Business-Kunden gewinnt. Böse formuliert ist Fedora die Fortführung von SCO Unix, während Ubuntu ein Selbsterfahrungstrip darstellt.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s