Ubuntu-kehittäjät Sano Linux Mint on epävarma. Ovatko he oikeassa?

Linux Mint on epävarma, sen mukaan, mitä Canonical-palkattu Ubuntu-kehittäjä sanoo, että hän ei tee verkkopankkia Linux Mint PC: llä. Kehittäjä väittää, että Linux Mint ”hacks” tärkeitä päivityksiä. Onko tämä todellinen ongelma tai pelkkä pelko?

Mukana oleva Ubuntu-kehittäjä on saanut tiettyjä tosiseikkoja väärin ja vahingoittanut omaa tapaustaan, mutta täällä on vielä todellinen argumentti. Ubuntu ja Linux Mint käsittelevät päivityksiä eri tavoin, ja jokaisella on oma kompromissi.

Ubuntu-kehittäjän väitteet

Canonical-palkattu Ubuntu-kehittäjä Oliver Grawert aloitti sanallisen sodan Ubuntu-kehittäjien postituslistalla. Siinä hän totesi, että tietoturvapäivitykset on "häkitty ulos Linux Mintista Xorgille, ytimelle, Firefoxille, käynnistyslataimelle ja muille paketeille".

Hän antoi linkin Mint Update -säännöstiedostoon, jossa todetaan, että se on "luettelo paketeista [Mint] ei koskaan päivity." Tämä on väärä - tiedosto tekee jotain monimutkaisempaa, mutta siirrymme siihen myöhemmin. Hän jatkoi: "Sanoisin, että haavoittuva ytimen selain tai xorg pidetään paikallaan sen sijaan, että sallitut tietoturvapäivitykset olisivat asentaja [sic] tekee siitä haavoittuvan järjestelmän ... en henkilökohtaisesti tekisi verkkopankkia;)".

Jotkut näistä väitteistä ovat täysin virheellisiä. On totta, että Linux Mint estää oletusarvoisesti X.org-graafisen palvelimen, Linux-ytimen ja käynnistyslataimen päivitykset. Näitä päivityksiä ei kuitenkaan "hakata Linux Mintista", kuten myöhemmin näytetään. Linux Mint ei myöskään estä Firefoxin päivityksiä. Firefox-selaimen päivitykset ovat tärkeitä todellisen turvallisuuden kannalta ja ne ovat oletusarvoisesti sallittuja, joten tämä Ubuntu-kehittäjän väitteet ovat poissa. Siinä on kuitenkin vielä todellinen argumentti - Linux Mint ei estä tietyntyyppisiä tietoturvapäivityksiä oletusarvoisesti.

Linux Mintin vastaus

Linux Mintin perustaja ja johtava kehittäjä Clement Lefebvre vastasi näihin syytöksiin blogiviestillä. Siinä hän huomauttaa, että Ubuntu-kehittäjä oli virheellinen edellä esitetyistä väitteistä. Hän myös selittää Linux Mintin syyn jättää oletusarvoisesti pois tietyt paketit:

”Selitimme vuonna 2007, millaisia ​​puutteita oli siinä, miten Ubuntu suosittelee käyttäjilleen sokeasti kaikkia saatavilla olevia päivityksiä. Selitimme regressioihin liittyvät ongelmat ja toteutimme ratkaisun, jonka olemme hyvin tyytyväisiä. ”

Firefox päivittää automaattisesti Linux Mintin, aivan kuten Ubuntu. Itse asiassa molemmat jakelut käyttävät samaa pakettia, joka tulee samasta arkistosta.

Linux Mintin ensisijainen argumentti on se, että "sokeasti" päivittävät paketit, kuten X.org-graafinen palvelin, käynnistyslataus ja Linux-ydin, voivat aiheuttaa ongelmia. Näiden matalan tason pakettien päivitykset voivat aiheuttaa vikoja joillekin laitteistoille, kun taas niiden ratkaisemat turvallisuusongelmat eivät todellakaan ole ongelma niille, jotka käyttävät Linux Mint -tuotetta rennosti kotona. Esimerkiksi monet Linux-ytimen tietoturvaongelmat ovat "paikallisia etuoikeuksien laajenemisen" haavoittuvuuksia. Ne voivat antaa käyttäjille, joilla on rajoitettu pääsy tietokoneeseen, tulla root-käyttäjäksi ja saada täysi käyttöoikeus, mutta niitä ei voida helposti hyödyntää selaimelta, kuten Java: n tyypillinen turvallisuusongelma.

Onko tämä itse asiassa ongelma?

Molemmilla osapuolilla on hyvät perustelut. Toisaalta on aivan totta, että Linux Mint poistaa oletusarvoisesti tiettyjen pakettien tietoturvapäivitykset. Tämä jättää rahapajan järjestelmän tunnetuimpiin tietoturvaheikkoihin, joita voitaisiin teoriassa hyödyntää.

Toisaalta on totta, että näitä turvallisuusongelmia ei hyödynnetä aktiivisesti. Linux Mint päivittää ohjelmistoja, jotka ovat todellisen hyökkäyksen kohteena, kuten web-selaimet. On totta, että X.org: n päivitykset ovat aiheuttaneet ongelmia aiemmin. Vuonna 2006 Ubuntu-päivitys rikkoi X-palvelimen useilta Ubuntu-käyttäjiltä, ​​jotka asensivat sen Linux-päätelaitteeseen. Vaikuttavat käyttäjät joutuivat korjaamaan järjestelmäänsä terminaalista. Linux Mintin päivityspolitiikka määritettiin vasta vuoden kuluttua vuonna 2007, joten tämä episodi vaikuttaa todennäköisesti Linux Mintin nykyiseen asenteeseen.

Jos olet kotikäyttöinen käyttäjä, luultavasti ei vaarannu Linux-ytimen virhe. Tietenkin, jos käytät Internetiä altistavaa palvelinta tai käytät yrityksen työasemaa, johon haluat rajoittaa pääsyä, varmista, että kaikki mahdolliset tietoturvapäivitykset on asennettu.

Turvapäivitysten hallinta Linux Mintissa

Jokainen Linux Mint -käyttäjä, jolla on mieluummin kaikki Ubuntu-käyttäjien saamat tietoturvapäivitykset, voi ottaa ne käyttöön Mintin päivityspalvelimessa. Nämä päivitykset eivät ole "häkitty", mutta ne on poistettu käytöstä oletuksena.

Voit hallita tätä asetusta avaamalla Update Manager -sovelluksen työpöytäympäristön valikosta. Napsauta Muokkaa-valikkoa ja valitse Asetukset. Tämän jälkeen voit valita asennettavien pakettien “tasot”. "Tasot" on määritelty Mintin päivityssäännöissä, joita mainitsimme aiemmin. Tasot 1-3 ovat oletusarvoisesti käytössä, kun taas tasot 4-5 ovat oletusarvoisesti pois käytöstä. Firefox on tason 2 paketti, jota päivitetään oletusarvoisesti. X.org ja Linux-ydin ovat tasot 4 ja 5, joten niitä ei päivitetä oletusarvoisesti.

Ota tasot 4 ja 5 käyttöön ja saat samat päivitykset Ubuntuissa - tulevat Ubunun omista päivitystallennuksista - mutta saat enemmän riskiä "regressioille", jotka aiheuttavat ongelmia.

Todellinen erimielisyys tässä on filosofinen. Ubuntu virheitä päivittää kaiken oletusarvoisesti, poistamalla kaikki mahdolliset turvallisuus haavoittuvuuksia - jopa ne, jotka eivät todennäköisesti hyödynnä kotikäyttäjien järjestelmiä. Linux Mint virheitä lukuun ottamatta päivityksiä, jotka saattavat aiheuttaa ongelmia.

Mikä ratkaisu mieluummin tulee siihen, mitä käytät tietokoneellasi ja kuinka mukavasti olet riskeillä.