29Aug
Linux Mint er usikker, ifølge en Canonical-ansat Ubuntu-udvikler, der siger, at han ikke ville gøre sin internetbank på en Linux Mint-pc. Udvikleren hævder, at Linux Mint "hacker ud" vigtige opdateringer. Er dette et ægte problem eller bare frygtelig?
Den involverede Ubuntu-udvikler har fået visse fakta forkert og beskadiget sin egen sag, men der er stadig et rigtigt argument til at være her. Ubuntu og Linux Mint beskæftiger sig med opdateringer på forskellige måder, og hver har sine egne afvejninger.
En Ubuntu-udviklers påstande
Oliver Grawert, en Canonical-ansat Ubuntu-udvikler, startede den verbale krigføring med denne meddelelse på Ubuntu-udviklernes mailingliste. I den udtalte han, at sikkerhedsopdateringer "eksplicit er hacket ud af Linux Mint til Xorg, kernen, Firefox, bootloaderen og forskellige andre pakker".
Han gav et link til Mint Update reglerfilen, idet han sagde, at det "er en liste over pakker [Mint] vil aldrig opdatere." Dette er forkert - filen gør noget mere kompliceret end det, men vi går ind i det senere. Han fortsatte: "Jeg ville sige med magt at holde en sårbar kernel browser eller xorg på plads i stedet for at lade de medfølgende sikkerhedsopdateringer være installatør [sic] gør det til et sårbart system. .. Jeg ville personligt ikke gøre online banking med det;)".
Nogle af disse påstande er helt usande. Det er rigtigt, at Linux Mint blokerer opdateringer til pakker som den grafiske server X.org, Linux-kerne og bootloader som standard. Disse opdateringer er imidlertid ikke "hacket ud af Linux Mint", som vi viser senere. Linux Mint blokkerer ikke opdateringer til Firefox. Opdateringer til Firefox-browseren er vigtige for sikkerheden i verden og er som standard tilladt, så denne Ubuntu-udviklers påstande er off-point. Men der er stadig et rigtigt argument her - Linux Mint blokkerer som regel visse typer sikkerhedsopdateringer.
Linux Mint Svar
Linux Mint grundlægger og lead udvikler Clement Lefebvre reagerede på disse beskyldninger med et blogindlæg. I den påpeger han, at Ubuntu-udvikleren var forkert over de påstande, vi forklarede ovenfor. Han præciserer også Linux Mints grund til at udelukke opdateringer for visse pakker som standard:
"Vi forklarede i 2007, hvad manglerne var med den måde, Ubuntu anbefaler deres brugere at blindt anvende alle tilgængelige opdateringer på.Vi forklarede problemerne forbundet med regressioner, og vi implementerede en løsning, som vi er meget tilfredse med. "
Firefox opdateres automatisk af Linux Mint, ligesom Ubuntu. Faktisk bruger begge distributioner den samme pakke, der kommer fra det samme depot.
Linux Mint primære argument er, at "blindt" opdatering af pakker som den grafiske server X10, bootloader og Linux-kernen kan forårsage problemer. Opdateringer til disse pakker på lavt niveau kan introducere fejl på nogle typer hardware, mens de sikkerhedsproblemer, de løser, ikke er et problem for folk, der bruger Linux Mint tilfældigt hjemme. For eksempel er mange sikkerhedsfejl i Linux-kernen "sårbarheder i lokal privilegium eskalering".De kan give brugere med begrænset adgang til computeren mulighed for at blive rootbrugeren og få fuldstændig adgang, men de kan ikke nemt udnyttes fra en webbrowser som et typisk sikkerhedsproblem i Java.
Er dette faktisk et problem?
Begge sider har gode argumenter. På den ene side er det helt sandt, at Linux Mint deaktiverer sikkerhedsopdateringer for visse pakker som standard. Dette efterlader et Mint-system med mere kendte sikkerhedsproblemer, som teoretisk kunne udnyttes.
På den anden side er det sandt, at disse sikkerhedsproblemer ikke udnyttes aktivt. Linux Mint opdaterer software, der er under egentlige angreb, som webbrowsere. Det er også rigtigt, at opdateringer til X.org har forårsaget problemer i fortiden. I 2006 brød en Ubuntu-opdatering X-serveren fra mange Ubuntu-brugere, der installerede den, og tvang dem til Linux-terminalen. Berørte brugere måtte reparere deres systemer fra terminalen. Linux Mints politik for opdateringer blev spelt ud bare et år senere i 2007, så det er sandsynligvis denne episode, der berørte Linux Mints nuværende holdning.
Hvis du er en hjemme desktop bruger, vil du sandsynligvis ikke blive kompromitteret på grund af en fejl i Linux-kernen. Selvfølgelig skal du sikre, at alle mulige sikkerhedsopdateringer installeres, hvis du kører en server, der er udsat for internettet eller driver en forretningsstation, som du vil begrænse adgangen til.
Kontrol af sikkerhedsopdateringer i Linux Mint
Enhver Linux Mint-bruger, der hellere vil have alle sikkerhedsopdateringer, som Ubuntu-brugere får, kan aktivere dem fra Mint's Update Manager. Disse opdateringer er ikke "hacket ud", men deaktiveres som standard.
Hvis du vil kontrollere denne indstilling, skal du åbne Update Manager-programmet fra menuen på skrivebordsmiljøet. Klik på menuen Rediger, og vælg Indstillinger. Du kan derefter vælge "niveauer" af pakker, du vil installere."Niveauer" er defineret i Mint Update regler filen, vi nævnte tidligere. Niveau 1-3 er aktiveret som standard, mens niveau 4-5 er deaktiveret som standard. Firefox er en pakke på niveau 2, som opdateres som standard. X.org og Linux-kernen er henholdsvis niveau 4 og 5, så de opdateres ikke som standard.
Aktiver niveau 4 og 5, og du får de samme opdateringer, du vil i Ubuntu - kommer fra Ubuntu's egen opdateringsarkiv - men du vil være mere udsat for "regressions", der introducerer problemer.
Den virkelige uenighed her er en filosofisk. Ubuntu errs ved siden af opdatering af alt som standard, hvilket eliminerer alle mulige sikkerhedsproblemer - selv dem, der usandsynligt vil blive udnyttet på hjemmebrugssystemer. Linux Mint errs på siden af at udelukke opdateringer, der potentielt kan skabe problemer.
Hvilken løsning du foretrækker, kommer ned til, hvad du bruger din computer til, og hvor behagelig du er med risikoen.