29Aug
Linux Mint ist unsicher, sagt ein von Canonical beschäftigter Ubuntu-Entwickler, der sagt, er würde sein Online-Banking nicht auf einem Linux-Mint-PC machen. Der Entwickler behauptet, dass Linux Mint wichtige Updates "hackt".Ist das ein echtes Problem oder einfach nur Panikmache?
Der involvierte Ubuntu-Entwickler hat gewisse Fakten falsch verstanden und seinen eigenen Fall beschädigt, aber es gibt immer noch ein echtes Argument hier zu haben. Ubuntu und Linux Mint befassen sich auf verschiedene Art und Weise mit Updates und jede hat ihre eigenen Kompromisse.
Ein Vorwurf des Ubuntu-Entwicklers
Oliver Grawert, ein Canonical-angestellter Ubuntu-Entwickler, begann die verbale Kriegsführung mit dieser Nachricht auf der Ubuntu-Entwickler-Mailingliste. Darin erklärte er, dass Sicherheitsupdates "ausdrücklich von Linux Mint für Xorg, dem Kernel, Firefox, dem Bootloader und verschiedenen anderen Paketen gehackt" seien.
Er stellte einen Link zur Mint-Update-Regeldatei bereit und gab an, dass es "eine Liste von Paketen [Mint] niemals aktualisieren wird". Das ist falsch - die Datei macht etwas komplizierteres, aber wir werden später darauf eingehen. Er fuhr fort: "Ich würde sagen, dass ich einen anfälligen Kernel-Browser oder xorg mit Nachdruck festhielt, anstatt zuzulassen, dass die bereitgestellten Sicherheitsupdates Installer sind [sic] macht es zu einem anfälligen System. .. Ich persönlich würde Online-Banking damit nicht machen;)".
Einige dieser Behauptungen sind völlig falsch. Es stimmt, dass Linux Mint standardmäßig Updates für Pakete wie den grafischen X.org-Server, den Linux-Kernel und den Bootloader blockiert. Diese Updates werden jedoch nicht von Linux Mint gehackt, wie wir später zeigen werden. Linux Mint blockiert auch keine Updates für Firefox. Updates für den Firefox-Webbrowser sind wichtig für die Sicherheit in der realen Welt und standardmäßig erlaubt. Daher sind die Behauptungen dieses Ubuntu-Entwicklers nicht zutreffend. Allerdings gibt es hier immer noch ein echtes Argument - Linux Mint blockiert standardmäßig bestimmte Arten von Sicherheitsupdates.
Linux Mint's Antwort
Linux Mint Gründer und leitender Entwickler Clement Lefebvre reagierte auf diese Vorwürfe mit einem Blog-Post. Darin weist er darauf hin, dass der Ubuntu-Entwickler bezüglich der oben erläuterten Behauptungen unkorrekt war. Er erklärt auch den Grund von Linux Mint, Updates für bestimmte Pakete standardmäßig auszuschließen:
"Wir haben im Jahr 2007 erklärt, welche Mängel mit der Art und Weise verbunden waren, wie Ubuntu seinen Benutzern empfiehlt, alle verfügbaren Updates blind anzuwenden. Wir haben die Probleme mit Regressionen erklärt und eine Lösung implementiert, mit der wir sehr zufrieden sind. "
Firefox wird automatisch von Linux Mint aktualisiert, genau wie Ubuntu. Beide Distributionen verwenden dasselbe Paket, das aus demselben Repository stammt.
Linux Mints Hauptargument ist, dass das "blinde" Aktualisieren von Paketen wie dem grafischen Server, dem Bootloader und dem Linux-Kernel von X.org Probleme verursachen kann. Updates für diese Low-Level-Pakete können bei einigen Hardwaretypen zu Fehlern führen, während die Sicherheitsprobleme, die sie lösen, kein Problem für Benutzer darstellen, die Linux Mint zu Hause verwenden. Zum Beispiel sind viele Sicherheitslücken im Linux-Kernel "lokale Rechte Eskalation" Sicherheitslücken. Sie können Benutzern mit eingeschränktem Zugriff auf den Computer erlauben, root-Benutzer zu werden und vollständigen Zugriff zu erhalten, aber sie können nicht so einfach aus einem Webbrowser ausgenutzt werden, wie es ein typisches Sicherheitsproblem in Java könnte.
ist das eigentlich ein Problem?
Beide Seiten haben gute Argumente. Auf der einen Seite ist es absolut richtig, dass Linux Mint Sicherheitsupdates für bestimmte Pakete standardmäßig deaktiviert. Dies hinterlässt ein Mint-System mit bekannteren Sicherheitslücken, die theoretisch ausgenutzt werden könnten.
Auf der anderen Seite ist es wahr, dass diese Sicherheitslücken nicht aktiv ausgenutzt werden. Linux Mint aktualisiert Software, die tatsächlich angegriffen wird, wie Webbrowser. Es stimmt auch, dass Updates für X.org in der Vergangenheit zu Problemen geführt haben. Im Jahr 2006 brach ein Ubuntu-Update den X-Server vieler Ubuntu-Benutzer, die ihn installierten, in das Linux-Terminal. Betroffene Benutzer mussten ihre Systeme vom Terminal aus reparieren. Linux Mints Update-Richtlinie wurde nur ein Jahr später im Jahr 2007 veröffentlicht. Es ist also wahrscheinlich, dass diese Episode die aktuelle Haltung von Linux Mint beeinflusst hat.
Wenn Sie ein Home-Desktop-Benutzer sind, werden Sie wahrscheinlich aufgrund eines Fehlers im Linux-Kernel nicht kompromittiert. Wenn Sie einen Server ausführen, der mit dem Internet verbunden ist oder eine Business-Workstation betreibt, auf die Sie den Zugriff beschränken möchten, sollten Sie natürlich sicherstellen, dass alle möglichen Sicherheitsupdates installiert sind.
Steuerung von Sicherheitsupdates in Linux Mint
Jeder Linux Mint-Benutzer, der lieber über alle Sicherheitsupdates verfügt, die Ubuntu-Benutzer erhalten, kann sie über den Update Manager von Mint aktivieren. Diese Updates werden nicht "gehackt", sondern sind standardmäßig deaktiviert.
Um diese Einstellung zu steuern, öffnen Sie die Anwendung Update Manager über das Menü Ihrer Desktop-Umgebung. Klicken Sie auf das Menü Bearbeiten und wählen Sie Einstellungen. Sie können dann die "Ebenen" der Pakete auswählen, die Sie installieren möchten."Levels" sind in der oben erwähnten Mint-Update-Regeldatei definiert. Die Level 1-3 sind standardmäßig aktiviert, während die Level 4-5 standardmäßig deaktiviert sind. Firefox ist ein Level 2-Paket, das standardmäßig aktualisiert wird. X.org und der Linux-Kernel sind Ebenen 4 und 5, also werden sie nicht standardmäßig aktualisiert.
Aktivieren Sie die Level 4 und 5, und Sie erhalten die gleichen Updates wie in Ubuntu - von Ubuntus eigenen Update-Repositories -, aber Sie werden mehr von "Regressionen" bedroht, die Probleme verursachen.
Die wirkliche Meinungsverschiedenheit ist hier eine philosophische. Ubuntu ist bestrebt, alles standardmäßig zu aktualisieren und alle möglichen Sicherheitslücken zu beseitigen - selbst solche, die auf Heimbenutzersystemen wahrscheinlich nicht ausgenutzt werden. Linux Mint irrt auf der Seite des Ausschließens von Updates, die möglicherweise Probleme verursachen könnten.
Welche Lösung Sie bevorzugen, hängt davon ab, wofür Sie Ihren Computer einsetzen und wie komfortabel Sie mit den Risiken umgehen.