Wie Sie Ihre Debian-Infrastruktur vor Supply-Chain-Attacken schützen

8. Juni 2025

Anfang 2024 erschütterte ein schwerwiegender Sicherheitsvorfall die Linux-Community: In Debians XZ Utils-Paket wurde eine bösartige Hintertür entdeckt. Diese weit verbreitete Datenkompressionsbibliothek diente Angreifern als Einstiegspunkt, um SSH-Authentifizierungen zu umgehen und beliebige Befehle auszuführen – ein deutliches Signal für kritische Schwachstellen in der Software-Lieferkette.

Die Supply-Chain verstehen

Der XZ Utils-Zwischenfall verdeutlichte den dringenden Bedarf an umfassender Überwachung, Verifizierung und Kontrolle innerhalb von IT-Infrastrukturen. Lieferketten-Angriffe, wie der Angriff auf XZ Utils, nutzen vertrauenswürdige Softwarequellen, um Malware großflächig und unbemerkt zu verbreiten.

Solche Angriffe unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen, darunter regelmäßige Updates, wachsamkeitsbasierte Bedrohungserkennung und strenge Prozesse zur Paketverifikation.

Verhinderung von Lieferketten-Attacken mit NOREYA UPDATE MEISTER

Der NOREYA UPDATE MEISTER wurde speziell entwickelt, um Ihre Infrastruktur vor Bedrohungen durch kompromittierte Lieferketten zu schützen. Durch das Spiegeln von Repositories und die Ermöglichung gründlicher Prüfprozesse, bevor Updates verteilt werden, verringert er das Risiko der Verteilung schädlicher Pakete erheblich.

Wesentliche Vorteile des NOREYA UPDATE MEISTER:

  • Prüfung vor Veröffentlichung: Updates werden erst nach sorgfältiger Analyse und Tests freigegeben, wodurch die Wahrscheinlichkeit, dass kompromittierte Pakete in Ihr System gelangen, minimiert wird.
  • Bedrohungserkennung: Jedes synchronisierte Paket wird gegen eine Datenbank mit über 80.000 Malware-Signaturen gescannt und liefert umgehende Warnungen bei erkannten Bedrohungen.

Einrichten Ihres Debian 12-Mirrors – Die sources.list

Um einen sicheren Mirror für Ihre Debian-Infrastruktur zu erstellen, ist es wichtig, die Paketquellen-Konfiguration von Debian zu verstehen. Die Standardkonfiguration für Debian 12 („bookworm“) befindet sich in der Datei /etc/apt/sources.list und sieht typischerweise folgendermaßen aus:

deb https://deb.debian.org/debian bookworm main non-free-firmware non-free
deb https://deb.debian.org/debian bookworm-updates main non-free-firmware non-free
deb https://security.debian.org/debian-security bookworm-security main non-free-firmware non-free

Hier eine Aufschlüsselung dessen, was jeder Eintrag bedeutet:

bookworm

deb https://deb.debian.org/debian bookworm main non-free-firmware non-free
Dieses Repository enthält den Großteil der Debian-Softwarepakete, insgesamt über 50.000.

bookworm-updates

deb https://deb.debian.org/debian bookworm-updates main non-free-firmware non-free
Es umfasst wichtige Fehlerbehebungen und kleinere Aktualisierungen zwischen den Hauptversionen.

bookworm-security

deb https://security.debian.org/debian-security bookworm-security main non-free-firmware non-free
Lieferung täglicher kritischer Sicherheitspatches zum Schutz vor neuen Schwachstellen.

Erläuterung der Debian-Archiv-Komponenten

  • bookworm: Kennzeichnet die Debian-12-Version.
  • main: Beinhaltet den Hauptbereich mit offiziell unterstützter freier Software.
  • non-free-firmware: Enthält proprietäre Firmware, die für bestimmte Hardwarefunktionen erforderlich ist.
  • non-free: Umfasst proprietäre Softwarepakete, die nicht den Debian-Richtlinien für freie Software entsprechen, aber für bestimmte Anwendungen erforderlich sein können.

Die NOREYA UPDATE MEISTER Konfiguration

Diese sources.list Konfiguration lässt sich folgendermaßen in eine NOREYA UPDATE MEISTER Konfiguration übertragen.
Wichtig ist das sie alle Archive, Releases, Komponenten und Architekturen die in deiner Infrastruktur eingesetzt werden enthalten sind.
Bitte beachte das die folgende Konfiguration rund 300GB freien Festplattenspeicher benötigt:

config.yaml

sync:
  - uid: 1
    display_name: debian-12
    host: https://deb.debian.org
    url_path: debian
    snapshot_directory: /srv/snapshots/debian-12
    working_directory: /srv/workdirs/debian-12
    endpoints:
      - name: debian12/stable
      - name: debian12/testing
    architectures:
      - amd64
    components:
      - main
      - non-free-firmware
      - non-free
    releases:
      - bookworm
  - uid: 2
    display_name: debian-12-updates
    host: https://deb.debian.org
    url_path: debian
    snapshot_directory: /srv/snapshots/debian-12-updates
    working_directory: /srv/workdirs/debian-12-updates
    endpoints:
      - name: debian12-updates/stable
      - name: debian12-updates/testing
    architectures:
      - amd64
    components:
      - main
      - non-free-firmware
      - non-free
    releases:
      - bookworm-updates
  - uid: 3
    display_name: debian-12-security
    host: https://security.debian.org
    url_path: debian-security
    snapshot_directory: /srv/snapshots/debian-12-security
    working_directory: /srv/workdirs/debian-12-security
    endpoints:
      - name: debian12-security/stable
      - name: debian12-security/testing
    architectures:
      - amd64
    components:
      - main
      - non-free-firmware
      - non-free
    releases:
      - bookworm-security

Starten der initalen Synchronisation

Die initiale Synchronisation lässt sich folgendermaßen starten:

systemctl start nupme-sync

Der Vorgang kann je nach Internetgeschwindigkeit mehrere Stunden oder Tage dauern.

Der Status kann mit systemctl status nupme-sync überprüft werden.

Zuweisen der Endpunkte in der UI

In der UI müssen die Endpunkte vor der Verwendung einem Snapshot zugewiesen werden.

Konfiguration eines Debian Clienten

Mit dem folgenden Befehlen kann die sources.list eines Debian Systems (Client!) auf den internen Host umgestellt werden.
Es werden die in der config.yaml konfigurierten Endpunkte debian12/stable, debian12-updates/stable und debian12-security/stable verwendet. Der Hostname example.local wird für den intern Host verwendet.

sources.list

sed -i 's|https://deb\.debian\.org/debian\sbookworm\s|https://example.local/debian12/stable |g'               /etc/apt/sources.list
sed -i 's|https://deb\.debian\.org/debian\sbookworm-updates|https://example.local/debian12-updates/stable |g' /etc/apt/sources.list
sed -i 's|https://security\.debian\.org/debian-security|https://example.local/debian12-security/stable|g'     /etc/apt/sources.list

Optional: Update Priorität am Clienten ändern

Die folgende Konfiguration auf dem Client stellt sicher, dass die Updates immer vom Server eingespielt werden, auch wenn dies ein Downgrade bedeutet!
Bitte beachten Sie, dass diese Konfiguration unerwartete Folgen haben kann!

/etc/apt/preferences.d/10_update_priority.pref

Package: *
Pin: origin "example.local"
Pin-Priority: 1100

Die ausführliche Dokumentation zu den Optionen kann man mittels man apt_preferences abrufen.

Testen des internen Hosts

Wenn man nun auf dem Debian Client System apt-get update ausführt sollte der interne Host verwendet werden.

Fazit

Mit dem NOREYA UPDATE MEISTER können Sie Ihre eigene Debian-Infrastruktur in wenigen Schritten unter Kontrolle bringen.
Die Möglichkeit, die Aktualisierungen zentral zu verwalten, zu prüfen und zu kontrollieren, verhindert nicht nur solche Angriffe, sondern ermöglicht im Notfall auch ein Rollback.