KDE neon ist die KDE Distribution. Das will man nicht ganz offiziell so sagen, weil man die Partner bei den Distributionen nicht verprellen will, aber eigentlich sieht man das so. Hinsichtlich der Sicherheit ist das aber bestenfalls Amateurliga.
KDE neon ist primär ein Produkt der ehemaligen Kubuntu Maintainer (siehe: Kommentar: KDE neon ist kein Ersatz für Kubuntu). Mit dem Wechsel auf die 20.04 Basis hat man den Ubuntu Installer durch Calamares ersetzt. Soweit so gut, Calamares wird auch von vielen anderen Distributionen in Teilen eingesetzt. Aber wehe, man weicht von den Vorgaben ab, dann bekommt man schlimmstenfalls ein komplett unsicheres System.
Wenn man vor ein paar Jahren ein vollverschlüsseltes LUKS-System aufsetzte, blieb die /boot-Partition unverschlüsselt für den Systemstart (siehe: LUKS – Betriebssystem verschlüsseln). Das ist hinsichtlich der Sicherheit nicht komplett optimal, die Angriffsszenarien sind aber speziell und eher für Leute interessant, die befürchten, ihre Geräte könnten im Interesse eines Geheimdienstes stehen. Seit Kurzem unterstützt GRUB2 jetzt auch den Start direkt in eine verschlüsselte Boot-Partition. Das ist theoretisch total super, hat praktisch aber eine Reihe von Nachteilen. Erstens ist es je nach Konfiguration und Hardware furchtbar langsam. Bei meinem Gerät dauerte es 25 Sekunden, bis der Startvorgang begann. Zudem funktioniert nur ein englisches Tastaturlayout und bei einer fehlerhaften Eingabe landet man sofort im Fehlermodus von Grub und muss hart abschalten und neu einschalten. Diese Nachteile überwiegen bei mir die eher theoretischen Sicherheitszugewinne bei Weitem.
Aus diesem Grund habe ich mich für eine weitgehend klassische Partitionierung entschieden. Eine kleine EFI-Partition, eine separate /boot-Partition und dann einen verschlüsseltes LVM mit meinen System und Home-Partitionen. Das funktioniert bei jeder mir bekannten Distribution und ließ sich auch in KDE neon / Calamares problemlos konfigurieren. Beim Abschluss gibt es eine Warnung wegen der unverschlüsselten Boot-Partition, aber ich konnte zu dem Zeitpunkt nicht ahnen, wie ernst es die Entwickler meinen.
Kleine Ironie am Rande: Während die Routine durchlief, zeigt die Installationsroutine von KDE neon eine nette Slideshow, unter anderem mit einem Schloss und dem Verweis, wie sicher die Distribution sei. Zum Schluss kam der obligatorische Neustart. Bei Single-User-Systemen mit LUKS Verschlüsselung wähle ich – soweit möglich – in der Installationsroutine meist den Autologin des Benutzers, weil die Authentifizierung bereits beim Systemstart erfolgt. Dachte ich jedenfalls.
KDE neon startet und ich finde mich auf dem Desktop wieder. Es gibt reproduzierbar keine Passwortabfrage, wenn der LUKS Container eingebunden wird. Ich vermute, dass irgendwo ein Keyfile hinterlegt ist, weil Calamares von einer verschlüsselten /boot-Partition ausgeht. Fakt ist aber ebenso, dass alle anderen Distributionen mit dieser Legacy-Partitionierung korrekt umgehen können. Ich hatte keine wirkliche Lust die Problemursache zu suchen, weil ein solcher Fauxpas bei mir ein grundsätzliches Misstrauen schürt.
Es ist für mich ein Beispiel für „Schuster bleib bei deinen Leisten“. Die KDE-Macher sollten sich auf die Entwicklung der Desktopumgebung und Programme konzentrieren und die Distribution den Profis dort überlassen, als selbst eine Distribution mit eklatanten Mängeln zusammen zu stümpern. Dass es anscheinend genau gegenteilige Überlegungen gibt, lässt mich nur den Kopf schütteln. Natürlich gibt es bei KDE neon durch die Kubuntu-Vorgeschichte einen gehörigen Erfahrungsschatz, aber es ist eben was anderes eine komplette Distribution herauszugeben, als „nur“ eine Desktopumgebung zu paketieren.
Bilder:
Einleitungs- und Beitragsbild von Gerd Altmann via pixabay
