29Aug
Linux Mint es inseguro, según un desarrollador de Ubuntu empleado por Canonical que dice que no haría su banca en línea en una PC Linux Mint. El desarrollador alega que Linux Mint "piratea" actualizaciones importantes.¿Es esto un problema real o simplemente un acto de miedo?
El desarrollador de Ubuntu involucrado ha hecho ciertos hechos incorrectos y ha dañado su propio caso, pero todavía hay un argumento real que se tiene aquí.Ubuntu y Linux Mint se ocupan de las actualizaciones de diferentes maneras, y cada una tiene sus propias compensaciones.
Alegaciones de un desarrollador de Ubuntu
Oliver Grawert, un desarrollador de Ubuntu empleado por Canonical, comenzó la guerra verbal con este mensaje en la lista de distribución de desarrolladores de Ubuntu. En él, afirmó que las actualizaciones de seguridad "están explícitamente pirateadas de Linux Mint para Xorg, kernel, Firefox, el gestor de arranque y varios otros paquetes".
Proporcionó un enlace al archivo de reglas de actualización de Mint, indicando que "es una lista de paquetes [Mint] nunca se actualizará". Esto es incorrecto: el archivo hace algo más complicado que eso, pero ya veremos más adelante. Continuó: "Diría que mantener un vulnerable kernel browser o xorg en su lugar en lugar de permitir que las actualizaciones de seguridad proporcionadas sean installer [sic] lo convierte en un sistema vulnerable. .. Personalmente, no haría banca en línea con él;)".
Algunas de estas acusaciones son completamente falsas. Es cierto que Linux Mint bloquea actualizaciones para paquetes como el servidor gráfico X.org, el kernel de Linux y el gestor de arranque de forma predeterminada. Sin embargo, estas actualizaciones no están "pirateadas de Linux Mint", como veremos más adelante. Linux Mint tampoco bloquea las actualizaciones de Firefox. Las actualizaciones del navegador web Firefox son importantes para la seguridad del mundo real y están permitidas de manera predeterminada, por lo que las afirmaciones de este desarrollador de Ubuntu no son correctas. Sin embargo, todavía hay un argumento real aquí: Linux Mint bloquea determinados tipos de actualizaciones de seguridad de manera predeterminada.
Respuesta de Linux Mint
El fundador de Linux Mint y desarrollador principal, Clement Lefebvre, respondió a estas acusaciones con una publicación en un blog. En él, señala que el desarrollador de Ubuntu fue incorrecto sobre las alegaciones que explicamos anteriormente. También aclara el motivo de Linux Mint para excluir actualizaciones para ciertos paquetes de forma predeterminada:
"Explicamos en 2007 cuáles eran las deficiencias con la forma en que Ubuntu recomienda a sus usuarios aplicar ciegamente todas las actualizaciones disponibles. Explicamos los problemas relacionados con las regresiones e implementamos una solución con la que estamos muy contentos ".
Firefox es actualizado automáticamente por Linux Mint, al igual que Ubuntu. De hecho, ambas distribuciones usan el mismo paquete que proviene del mismo repositorio. El principal argumento de
Linux Mint es que la actualización "a ciegas" de paquetes como el servidor gráfico X.org, el gestor de arranque y el kernel de Linux puede causar problemas. Las actualizaciones de estos paquetes de bajo nivel pueden introducir errores en algunos tipos de hardware, mientras que los problemas de seguridad que resuelven en realidad no son un problema para las personas que usan Linux Mint casualmente en casa. Por ejemplo, muchos fallos de seguridad en el kernel de Linux son vulnerabilidades de "escalamiento de privilegios locales".Pueden permitir que los usuarios con acceso limitado a la computadora se conviertan en usuarios root y obtengan acceso completo, pero no pueden ser explotados fácilmente desde un navegador web como lo haría un problema típico de seguridad en Java.
¿Es esto realmente un problema?
Ambas partes tienen buenos argumentos. Por un lado, es absolutamente cierto que Linux Mint está deshabilitando las actualizaciones de seguridad para ciertos paquetes de forma predeterminada. Esto deja un sistema Mint con más vulnerabilidades de seguridad conocidas, que teóricamente podrían ser explotadas.
Por otro lado, es cierto que estas vulnerabilidades de seguridad no se explotan activamente. Linux Mint actualiza el software que está bajo ataque real, como los navegadores web. También es cierto que las actualizaciones de X.org han causado problemas en el pasado. En 2006, una actualización de Ubuntu rompió el servidor X de muchos usuarios de Ubuntu que lo instalaron, forzándolos a ingresar al terminal Linux. Los usuarios afectados tuvieron que reparar sus sistemas desde la terminal. La política de Linux Mint sobre actualizaciones se develó un año después en 2007, por lo que es probable que este episodio haya afectado la postura actual de Linux Mint.
Si usted es un usuario de escritorio doméstico, probablemente no se verá comprometido debido a un defecto en el kernel de Linux. Por supuesto, si ejecuta un servidor que está expuesto a Internet u opera una estación de trabajo comercial a la que desea restringir el acceso, debe asegurarse de que estén instaladas todas las actualizaciones de seguridad posibles.
Control de actualizaciones de seguridad en Linux Mint
Cualquier usuario de Linux Mint que prefiera tener todas las actualizaciones de seguridad que obtienen los usuarios de Ubuntu puede habilitarlas desde el Administrador de actualizaciones de Mint. Estas actualizaciones no están "pirateadas", sino que están desactivadas por defecto.
Para controlar esta configuración, abra la aplicación Update Manager desde el menú de su entorno de escritorio. Haga clic en el menú Editar y seleccione Preferencias. Luego podrá elegir los "niveles" de paquetes que desea instalar. Los "Niveles" se definen en el archivo de reglas de actualización de Mint que mencionamos anteriormente. Los niveles 1-3 están habilitados por defecto, mientras que los niveles 4-5 están deshabilitados por defecto. Firefox es un paquete de nivel 2, que se actualiza de forma predeterminada. X.org y el núcleo de Linux son niveles 4 y 5, respectivamente, por lo que no se actualizan de forma predeterminada.
Habilite los niveles 4 y 5 y obtendrá las mismas actualizaciones que en Ubuntu, provenientes de los repositorios de actualización propios de Ubuntu, pero correrá más riesgo de "regresiones" que introduzcan problemas.
El desacuerdo real aquí es filosófico. Ubuntu se equivoca al actualizar todo por defecto, eliminando todas las posibles vulnerabilidades de seguridad, incluso aquellas que probablemente no se exploten en los sistemas de usuario domésticos. Linux Mint errs en el lado de excluir actualizaciones que potencialmente podrían causar problemas.
. La solución que prefiera se reducirá a lo que está usando su computadora y qué tan cómodo se siente con los riesgos.