29Aug
Linux Mint ebakindel, kes ütleb, et ta ei tee oma online pangandust Linux Mint PC-is. Arendaja väidab, et Linux Mint "hacks out" olulisi värskendusi. Kas see on tõeline probleem või lihtsalt kiusamine?
Osalev Ubuntu arendaja on saanud teatud faktid valesti ja rikkus oma juhtumit, kuid siin on ikkagi tõeline argument. Ubuntu ja Linux Mint tegelevad erinevatel viisidel värskendustega ja neil on oma kompromissid.
Ubuntu arendajate väited
Oliver Grawert, Canonical-töötav Ubuntu arendaja, alustas verbaalset sõda selle sõnumiga Ubuntu arendajate meililistis. Selles märkis ta, et turvavärskendused on Xorgile, Linuxile, Firefoxile, alglaadijatele ja muudele pakettidele mõeldud Linuxi münti.
Ta andis linki Müntide värskendamise reeglite failile, märkides, et see "on pakettide nimekiri [mündi] ei värskendata kunagi." See on vale - fail teeb sellest midagi keerulisemat, kuid me läheme sellest hiljem. Ta lisas: "Ma ütleksin, et jõuliselt hoiab haavatavat tuumaprogrammi või xorgit hoides, selle asemel, et lubada etteantud turvavärskenduste installimine [sic], muudab selle haavatavaks süsteemi. .. Ma isiklikult ei tee seda internetipanga kaudu;)".
Mõned neist väidetest on täiesti valed. On tõsi, et Linux Mint blokeerib vaikimisi paketid, nagu näiteks X.org graafiline server, Linux kernel ja alglaadija laadija. Kuid need värskendused ei ole Linuxi rahapajast hacked, nagu me näitame hiljem. Linux Mint ei blokeeri Firefoxi värskendusi. Firefoxi veebibrauseri värskendused on reaalmaailma turvalisuse jaoks olulised ja vaikimisi lubatud, nii et need Ubuntu arendaja väited on ebaõiged. Siiski on siiani tõeline argument - Linux Mint blokeerib teatud tüüpi turvavärskendusi vaikimisi.
Linux Mint's Response
Linux Mint asutaja ja juhtiv arendaja Clement Lefebvre vastas nendele süüdistustele blogipostitusega. Siinkohal juhib ta tähelepanu sellele, et Ubuntu arendaja oli väidetest, mida me eespool selgitasime, valesti. Ta selgitab ka Linuxi rahapajade põhjust, miks vaikimisi teatud pakettide värskendused välja jätta:
"2007. aastal selgitasime, millised olid puudused Ubuntu soovitustes, et nende kasutajad kohaldaksid pimesi kõiki saadaolevaid värskendusi. Me selgitasime regresioonidega seotud probleeme ja kasutasime lahenduse, millest oleme väga rahul. "
Firefoxi uuendatakse automaatselt Linuxi mündiga, nagu ka Ubuntu poolt. Mõlemad distributsioonid kasutavad sama paketti, mis pärineb samalt hoidlast.
Linux Mint peamine argument on see, et pakettide "pimesi" värskendamine nagu X.org graafiline server, bootloader ja Linux kernel võivad põhjustada probleeme. Nende madala taseme pakettide värskendused võivad teatud tüüpi riistvaraversioonidele kaasa tuua vigu, kuid nende lahendatavad turvaprobleemid ei ole tegelikult probleemiks inimestele, kes kasutavad Linuxi mündi kodus juhuslikult. Näiteks Linuxi tuuma paljud turvalisusvigad on "kohalike privileegide eskalatsiooni" haavatavused. Nad võivad lubada kasutajatel, kellel on piiratud juurdepääs arvutile, muutuda administraatoriks ja saada täielikku juurdepääsu, kuid neid ei saa veebibrauseris hõlpsalt kasutada, näiteks Java-tüüpi tüüpiline turbeprobleem.
Kas see on tegelikult probleem?
Mõlemal poolel on head argumendid.Ühelt poolt on täiesti tõsi, et Linux Mint keelab teatud pakettide vaikimisi turvavärskendused. See jätab välja mündisüsteemi, millel on rohkem tuntud turvahaavatavusi ja mida võiks teoreetiliselt kasutada.
Teisalt on tõsi, et neid turvahaavatavusi ei kasutata aktiivselt. Linux Mint ei värskenda tarkvara, mis on tegelikult rünnaku all, nagu veebibrauserid. Samuti on tõsi, et X.org-i värskendused on minevikus tekitanud probleeme.2006. aastal murdis Ubuntu uuendus X-server paljudel Ubuntu kasutajatel, kes installisid seda, sundides neid Linuxi terminali. Mõjutatud kasutajad pidid oma süsteemid terminalist parandama. Linux Mint'i värskendamispoliitikat kirjeldati vaid aasta hiljem 2007. aastal, nii et tõenäoliselt mõjutas see episood Linux Mint praegust olukorda.
Kui oled kodus töölaua kasutaja, siis tõenäoliselt ei rikuta seda Linuxi kerneli viga. Loomulikult, kui käitate serverit, mis puutub kokku Internetiga või töötab ettevõtte tööjaamas, mida soovite juurdepääsu piirata, peate tagama, et kõik turvavärskendused on installitud.
Linuxi müntide
turvavärskenduste kontrollimineIga Linux Mint kasutaja, kellel on kõik turvavärskendused paremini, saavad Ubuntu kasutajad neid lubada Mint'i värskenduste haldurist. Need värskendused ei ole "häkkinud", kuid on vaikimisi just selle keelatud.
Selle seadistuse juhtimiseks avage rakenduse Update Manager oma töökeskkonna menüüst. Klõpsake menüül Redigeeri ja valige Eelistused. Seejärel saate valida pakettide "tasemed", mida soovite installida."Tase" on määratletud eelpool mainitud rahapaja värskenduste reeglite failis. Vaikimisi on lubatud tasemed 1-3, kuid tasemed 4-5 on vaikimisi keelatud. Firefox on 2. taseme pakett, mida värskendatakse vaikimisi. X.org ja Linuxi kernel on vastavalt tasemed 4 ja 5, nii et neid ei värskendata vaikimisi.
Lubage tasemed 4 ja 5 ning saadate samad värskendused, mis teil Ubuntu - tulevad Ubuntu enda värskendustehoidlatest -, kuid teil on suurem oht, et probleeme tekitavad regressioonid.
Tõeline lahkarvamus on filosoofiline. Ubuntu eksib vaikimisi kõigi asjade värskendamise poole, kõrvaldades kõik võimalikud turvaaukud - isegi need, mida tõenäoliselt kodukasutaja süsteemides ei kasutata. Linux Mint ebaõnnestub, kui jätta välja uuendused, mis võivad põhjustada probleeme.
Milline eelistatav lahendus läheb alla sellele, mida te kasutate oma arvutis ja kui hästi olete riskidega kokku puutunud.
