Welche Linux LTS Distribution wählen?

Es gibt viele Distributionen, aber nur wenige Distributionen mit langfristigem Support. Doch auch zwischen diesen Distributionen gibt es erhebliche Unterschiede. Der Versuch einer kleinen Einordnung.

Natürlich können Anwender genau die Distribution verwenden, die sie bevorzugen. Das kann ein Rolling Release sein oder eine Distribution mit nur kurzer Laufzeit wie Fedora oder Mageia. Die meisten Anwender machen sich aber meiner Erfahrung nach nicht so viel aus Updates, wollen über mehrere Jahre in Ruhe ihre Systeme nutzen und bekommen neue Funktionen lieber mit einem großen Schwung. Das betrifft nicht exklusiv Linux-Anwender, sondern ich erlebe das auch bei macOS-Nutzern und Windows 10-Anwendern, wo meist erst mit deutlicher Verzögerung und kurz vor Supportende einer jeweiligen Version aktualisiert wird. Das mögen nicht mehr die 10 Jahre von früher sein, aber häufiger als alle 2-3 Jahre möchten die meisten Anwender keine umstürzenden Aktualisierungen. Sie arbeiten schließlich mit den Systemen und nicht an den Systemen.

Die hier getroffenen Abwägungen haben einen Fokus auf den Sicherheitsaspekt. Wer ideologische Gesichtspunkte höher gewichtet, kann durchaus zu anderen Ergebnissen zu kommen. Grundsätzlich respektiere ich es, wenn einem dieser Aspekt nicht so wichtig ist, da Linux gegenwärtig keinem großen Schadsoftwaredruck ausgesetzt ist und längerfristig offene Sicherheitslücken mit hoher Wahrscheinlichkeit keine direkten nachteiligen Auswirkungen auf den normalen Anwender haben. Vermutlich könnte man sogar mit einer seit Längerem abgekündigten Version ohne jegliche Sicherheitsupdates noch einige Zeit problemlos auch im Internet unterwegs sein. Doch wenn man Sicherheit ernst nimmt, dann auch konsequent.

Ich habe 2015 im freien magazin mal einen Artikel zu LTS-Distributionen für den Linux-Desktop geschrieben, der die Grundlage für den hiesigen Schwerpunkt-Bereich zu Linux wurde. Erstaunlich wenig hat sich in dem Bereich seitdem getan. Allerdings würde ich das heute teilweise anders bewerten. Da aufgrund meiner Debian-Serie mich einige gefragt haben, möchte ich das hier kurz einordnen.

Folgende Reihenfolge sehe ich bei den LTS-Distributionen. Die wesentlichen Vor- und Nachteile habe ich mal aufgelistet.

1. Red Hat Enterprise Linux & Klone

Wer gerne mit der GNOME Shell arbeitet, sollte sich RHEL oder einen der freien Klone wie Alma Linux genauer ansehen. Für diese Enterprise-Distribution gibt es keine andere Desktopumgebung, deshalb ist diese Einschränkung die maßgebliche erste Abwägung, die jeder Anwender treffen muss.

Red Hat beschäftigt wohl die meisten Entwickler im Linux- und GNOME-Umfeld in einer Firma. Die Entwicklungen aus der Red Hat-Schmiede sind heute überwiegend die Quasi-Standards im Linux-Segment. Nach einem ausführlichen Test in Fedora landen diese immer in RHEL.

RHEL bietet für Anwender einige substanzielle Vorteile:

  • RHEL folgt mit Verzögerung direkt der Upstream-Entwicklung und die Wahrscheinlichkeit, in Entwicklungssackgassen zu geraten, wie dies oft bei Canonicals Eigenentwicklungen der Fall ist, sind äußerst gering. RHEL ist deshalb für seine Anwender sehr nachhaltig. Red Hat ist ebenso in der Position, in entscheidenden Momenten Einfluss auf die GNOME-Entwicklung zu nehmen, um Enterprise-Tauglichkeit herzustellen. Das hat man in der Vergangenheit beim Classic-Mode gesehen, der genau dann kam, als der Wechsel von GNOME 2 zu GNOME Shell in RHEL anstand.
  • Red Hat besitzt die Leistungsfähigkeit, um Sicherheitsprobleme schnell und konsequent zu beheben. Das gilt sowohl für die versionsstabil gehaltenen Bestandteile wie den Linux-Kernel, aber auch für die variableren Bestandteile, bei denen Red Hat durchaus mal pragmatisch Versionen anhebt, um die hohe Qualität für den Anwender zu gewährleisten.
  • Keine andere Distribution setzt das Sicherheitsframework SELinux so konsequent ein wie RHEL.

Der Einsatz von RHEL hat aber zwei substanzielle Nachteile:

  • Der Fokus liegt eindeutig auf dem Servereinsatz. Der Kernel ist daher einige Zeit nach dem Release veraltet und unterstützt moderne Desktop-Hardware unzureichend.
  • Die Paketauswahl ist auf einen klassischen Office-Desktop beschränkt und beinhaltet meist nur sehr wenige Softwarelösungen und nicht die komplette FOSS-Bandbreite. Viele Anwender setzen daher auf Drittanbieter wie EPEL mit den üblichen Folgen für die Sicherheit, da diese Drittanbieterquellen nicht im gleichen Maße gepflegt werden.

2. openSUSE Leap

Bevorzugt man einen anderen Desktop als die GNOME Shell, wäre openSUSE Leap eine Alternative. Die stabile openSUSE-Variante unterstützt alle verbreiteten Linux-Desktopumgebungen auf einer stabilen SUSE Linux Enterprise-Basis. SLE selbst bietet eigentlich nur GNOME und deshalb eigentlich keine Vorteile gegenüber RHEL und taucht deshalb nicht als eigener Eintrag in diesem Artikel auf.

Der Einsatz von openSUSE Leap hat für den Anwender gegenüber RHEL substanzielle Vorteile:

  • Die SLE-Basis wird sehr gut gepflegt und Sicherheitsaktualisierungen kommen zeitnah und umfassend.
  • Durch das leistungsfähige Entwicklerteam werden auch Bugs in der SLE-Basis sehr konsequent behoben.
  • Das openSUSE-Projekt trifft keine ideologischen Entscheidungen – weder konzeptionell noch während des Betriebs.
  • Die Paketauswahl ist deutlich größer als bei RHEL und umfasst die übliche Mainstream-Software im FOSS-Bereich.

Allerdings gibt es auch Nachteile:

  • Die Qualität der Pflege fällt von der SLE-Basis zu den Bestandteilen ab, die das openSUSE-Projekt beisteuert.
  • Der Umfang der Aktualisierungen bei den jährlichen Minor-Versionen ist schwer vorherzusagen und damit nicht gut planbar.
  • Neue Hauptversionen folgen den SLE-Hauptversionen und für diese gibt es keine langfristige Roadmap.

3. Ubuntu

Bei Ubuntu muss man differenzieren zwischen der Kerndistribution Ubuntu und den Derivaten. Die Derivate halte ich für keine empfehlenswerte LTS-Distribution, wenn der Fokus auf Sicherheit liegt, da es für diese kein Sicherheitsversprechen gibt, sondern alle Pakete in universe liegen und durch die jeweiligen Communitys höchst unterschiedlich intensiv gepflegt werden.

Wenn man aber die Hauptvariante nutzt und primär Pakete aus main nutzt, dann ist Ubuntu eine sehr gut gepflegte Distribution. Es gibt substanzielle Vorteile:

  • Planbare Releasezyklen und ein Supportversprechen für 5 Jahre ohne die Pflicht jährliche Minoraktualisierungen wie bei RHEL oder openSUSE Leap vornehmen zu müssen.
  • Halbjährlich aktuelle Kernel- und Grafikstackversionen ermöglichen den Einsatz moderner Hardware.

Folgende Nachteile gibt es:

  • Die Universe-Paketquelle ist bei Desktopinstallationen standardmäßig aktiviert. Anwender müssen hier genau prüfen, welche Pakete sie aus welcher Quelle installieren und ob es für diese Support gibt. Die beliebte Oberfläche Synaptic zeigt dies aber praktisch mit kleinen Icons an.
  • Universe ist ungepflegt und teilweise in einem extrem schlechten Zustand. Mit wachsendem zeitlichen Abstand zum Releasedatum der LTS verstärkt sich dieses Problem.
  • Canonical bzw. Ubuntu entwickeln gerne eigene Lösungen, die vom Linux (RHEL) Mainstream abweichen. Es gab in der Vergangenheit deshalb häufiger starke Brüche, bei denen Anwender sehr plötzlich mit Entwicklungen konfrontiert wurden, die bei RHEL oder openSUSE längerfristig vorbereitet wurden.

4. Debian

Kaum überraschend kommt Debian bei mir tatsächlich als letzte Distribution. Debian hat den Vorzug – im Gegensatz zu den drei oben genannten Distributionen – von keiner Firma entwickelt zu werden oder direkt von einer Firma abhängig zu sein. Damit kommt es dem FOSS-Gedanken sehr nahe, ebenso mit der konsequenten Thematisierung unfreier Bestandteile.

Es gibt durchaus Vorteile von Debian die für den Einsatz sprechen:

  • Debian ist sehr nachhaltig. Es gibt immer einen Upgradepfad und Anwender bleiben von tiefgreifenden Umbrüchen verschont.
  • Der Umfang der Paketquellen ist unübertroffen. Die direkte Notwendigkeit unsichere Fremdquellen einzubinden ist selten gegeben.

Inzwischen gibt es aber auch viele substanzielle Nachteile:

  • Die Software in den Paketquellen ist unterschiedlich gut gepflegt. In einigen Bereichen werden über viele Jahre veraltete Versionen mitgeschleppt.
  • Das Supportversprechen ist für einige Pakete über die Release Notes eingeschränkt, was sich faktisch auf weitere Pakete, die diese nutzen, auswirkt und nicht transparent gemacht wird.
  • Versionsstabilität oder Reproduzierbarkeit von Builds wird im Zweifel höher als die zeitnahe Verteilung von Sicherheitsupdates gewichtet.
  • Backports sind von Supportversprechen ausgenommen.

9 Kommentare

    • Mint setzt direkt auf die Ubuntu- respektive Debian-Quellen und erbt deren Probleme. Aus einer Sicherheitsperspektive würde ich Linux Mint nicht empfehlen.

  1. Hallo Gerrit,
    Du erwähnst bei Red Hat und OpenSuse die halbjährlichen Minor Update. Ein wichtiger Unterschied ist der Umfang dieser Updates. OpenSuse aktualisiert deutlich mehr und bedarf in aller Regel eines manuellen Eingreifens. Ich habe bei Centos 7 die automatischen Updates aktiviert und es aktualisiert vollkommen automatisch. Aus meiner praktischen Erfahrung fühlt es sich wie Ubuntu LTS an.
    Mfg
    Jonas

    P.S. Oracle Linux 7 hat im Gegensatz zu Centos 7 schon mehrfach Probleme bei automatischen Updates gemacht.

  2. Ich habe wieder damit angefangen, unter bestimmten Bedingungen wieder Linux zu supporten. Dabei sind mir in letzter Zeit 2 Distributionen sehr Positiv aufgefallen. Fedora und openSUSE.

    Fedora ist sehr modern und wird öfter aktualisiert als eine herkömmliche LTS-Distribution. Fedora lässt sich aber sehr einfach aktualisieren, auch auf eine neuere Version. Fedora ist aber auch abwärtskompatibel. Ich konnte unter Fedora alte (letztes Update 2014) Druckertreiber installieren, mit abhängigkeiten die zb. aus Debian längst verschwunden sind. Der Drucker nun läuft unter Linux.

    Das selbe bei openSUSE. Hier konnte ich einen Multifunktionsdrucker von Canon (Linux Treiber von 2009) zu funktionieren bringen. Eben weil openSUSE auch alte Bibliotheken liefert, die man nachinstallieren muss, die diese Treiber benötigen. Ich finde das Spitze.

  3. Mal eine Frage zu openSUSE: Software, die man nicht in den Repos findet, gibt es oft im deb-Format, z.B. BlueGriffon oder XnView MP, aber nicht im rpm-Format. Was würdest Du da empfehlen?

    • Xnview gibt es ausser Deb auch als tar.gz und als Appimage, beides sollte in openSuse gehen. Ob das .tar.bz2 von BlueGriffon mit ‚Ubuntu‘ im Namen unter oS läuft wüsste ich nicht, käme auf einen Versuch an.

  4. Ich finde den Artikel gut und wichtig. Mit dem Thema „quäle“ ich mich schon länger herum. 2008 bin ich von Windows auf Kubuntu gewechselt und habe hier immer LTS-Versionen verwendet. Was mir bald aufgefallen ist und in den „Anfangsjahren“ nicht so ausgeprägt war: Sobald es eine neue STS-Version gab, konnte man viele PPAs vergessen. Im Kern blieb man auf älterer Software zurück und hätte es sich sparen können, in einem LTS überhaupt PPAs einzubinden. Gefühlt verschlimmerte sich das in den letzten Jahren. Ich bin aber der Meinung, dass sich ein „sicheres System“ (LTS) nicht zwingend mit „aktueller Software“ beißt. Aber nach bisherigem Verständnis von Canonical hätte ich 5 Jahre lang z. B. ein deutlich älteres LibreOffice verwendet, als es im PPA zur Verfügung stand.

    Daher bin ich jetzt Anfang des Jahres zu Manjaro gewechselt. Schade finde ich, dass die Arch-Familie im Artikel keine große Beachtung findet, aber streng genommen ist das ok und für mich so gesehen auch ein kleines Experiment. Bisher konnte ich aber nicht meckern. Alle meine Apps gibt es in den Manjaro-Repos, sie sind sehr aktuell, und die wenigen Ausreißer bekomme ich als AppImage. Auf Snap, Flatpak und AUR kann ich derzeit verzichten. Inzwischen habe ich auch KDE 5.24.2 auf dem System und alles läuft wunderbar. Spezielle Anpassungen für mein Ryzen-System musste ich bisher keine vornehmen.

    Wenn nun nach 1-2 Wochen der Paketmanager neue Updates meldet, kann man auch bei Manjaro im Forum verfolgen, ob es Problemchen gibt. Diese direkt nachverfolgbaren Rückmeldungen finde ich sehr hilfreich, um zu entscheiden, wann ich aktualisiere.

    Eine Kleinigkeit habe ich mir angepasst: Bei der Installation von Paketen will er mir immer auch alle anstehenden Updates einspielen. Es gibt aber eine Einstellung, bei der man das umgehen kann.

    Interessant finde ich, dass Manjaro KDE auf meinem Ryzen 3 deutlich schneller startet und läuft als Kubuntu. Auch STS-Upgrades habe ich bereits bei Kubuntu versucht, was im Vergleich zu Manjaro ewig dauert. Und dann muss man seine PPAs wieder einchecken…

    Ich will nicht stänkern, ich habe Linux über KDE und Ubuntu wirklich als 100% brauchbare Arbeitsfläche kennengelernt und habe es nie bereut. Nur ist für mich der Abstand zwischen LTS- und PPA-Angeboten inzwischen zu groß geworden.

  5. Ich verstehe nicht, wieso du den „Sicherheitsaspekt“ für eine Distribution SO grossschreibst. 90% aller tatsächlichen (nicht theoretisch möglichen) „Einbrüche“ in ein Computersystem erfolgen über den Browser. Dann kommen noch 9% über Mailclient, Chatprogramme o.ä (falls man sowas denn nutzt, geht alles AUCH im Browser!

    Also bezieht man den Browser einfach direkt vom Hersteller. Sowohl für Chrome als auch für Firefox als auch für [andere] geht das ganz einfach – das würde ich jedem Nutzer wirklich ans Herz legen. Auch andere Tools die Primär für die Nutzung im Netz gedacht sind, würde ich so einbinden, gibt ja eigentlich immer ein PPA direkt vom Hersteller.

    Aber ob jetzt wget in einer 3 jahre alten Version vorliegt – jo mei! Immer noch besser als Windows 10. Und wenn einer mein Türschloss knackt und sich physischen Zugriff auf mein Gerät verschafft – da würd ich eher zu einem guten Schloss und vielleicht zu einer Kamera raten.

    Quitessenz: Installiere eine Firewall, installiere eine piHole, Hole dir den Browser vom Hersteller, und ein gutes Türschloss. Und dann ist ein 3 Jahre altes wget akzeptabel. Es gibt ja auch grosse Vorteile die für Ubuntu sprechen. Man muss sich halt überlegen ob und wie man durch zusätzliche Massnahme, ausserhalb des Betriebssystems ein paar der schwächen wieder kompensieren oder mildern kann.

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Ubuntu – Zurückgehaltene Pakete und „Phased Updates“

In letzter Zeit gibt es mehr Berichte über Probleme mit zurückgehaltenen Paketen bei Ubuntu. Dahinter stecken aber meist gar keine zu lösenden Probleme, sondern...

(K)Ubuntu 22.04 – Eine kleine persönliche Bilanz

Eigentlich wollte ich Kubuntu 22.04 dieses Frühjahr gegen openSUSE austauschen. Das habe ich dann doch nicht gemacht, weil ich die betroffenen Anwender nicht kurz...

TrackerControl für Android – Apps im Blick behalten

Open Source Apps von F-Droid oder anderen Repositorien sind meist vertrauenswürdig, aber die wenigsten kommen gänzlich ohne proprietäre Apps aus. Hier hat man gerne...

Staubsaugerroboter – Abwägungsfragen im Datenschutz

Ich wollte einen Staubsaugerroboter. Meine Wohnung ist zu groß, ich betrachte Putzen nicht als Hobby und der Boden ist ideal für einen Staubsaugerroboter geeignet....