29Aug
Linux Mint on epävarma Canonical -työntekijän Ubuntu-kehittäjän mukaan, joka sanoo, että hän ei tekisi verkkopankkisi Linux Mint PC: llä.Kehittäjä väittää, että Linux Mint "hakkaa ulos" tärkeitä päivityksiä.Onko tämä todellinen ongelma vai vain pelko-mongering?
Ubuntu-kehittäjä on saanut tietyt tosiseikat väärin ja vahingoittanut omaa tapaustaan, mutta täällä on vielä todellinen argumentti. Ubuntu ja Linux Mint käsittelevät päivityksiä eri tavoin, ja kullakin on omat kompromissinsa.
Ubuntu-kehittäjän väitteet
Ubuntu-kehittäjä Oliver Grawert aloitti verbaalisen sodankäynnin tämän viestin kanssa Ubuntu-kehittäjien postituslistalla. Siinä hän totesi, että tietoturvapäivitykset "eksplisiittisesti eksyvät Linux Mint for Xorgista, ytimestä, Firefoxista, käynnistyslataimesta ja useista muista paketeista".
Hän tarjosi linkin Mint Update -säännöt -tiedostoon ja ilmoitti, että se on "pakettien luettelo [Mint] ei koskaan päivitä." Tämä on väärä - tiedosto on jotain monimutkaisempaa, mutta menemme siihen myöhemmin. Hän jatkoi: "Haluan sanoa, että säilytetään haavoittuva ydin-selain tai xorg paikallaan sen sijaan, että sallitut tietoturvapäivitykset olisivat asentajia [sic] tekee haavoittuvasta järjestelmästä. .. En henkilökohtaisesti halua tehdä verkkopankkia sen kanssa;)".
Jotkut näistä väitteistä ovat täysin epätodennäköisiä.On totta, että Linux Mint lakkaa päivityksiä paketeista, kuten X.org-grafiikkapalvelimesta, Linux-ytimestä ja käynnistyslataimesta oletuksena. Näitä päivityksiä ei kuitenkaan ole "purettu Linux Mintista", kuten näytämme myöhemmin. Linux Mint ei myöskään estä Firefox-päivityksiä.Firefox-selaimen päivitykset ovat tärkeitä reaalimaailman turvallisuuden kannalta, ja ne ovat oletuksena sallittuja, joten Ubuntun kehittäjän väitteet ovat epäkohdat. Tässä on kuitenkin vielä todellinen argumentti - Linux Mint estää tietyntyyppiset tietoturvapäivitykset oletuksena.
Linux Mintin vastaus
Linux Mintin perustaja ja lyijykehittäjä Clement Lefebvre vastasi näihin syytöksiin blogikirjoituksella. Siinä hän huomauttaa, että Ubuntun kehittäjä oli virheellinen edellä selostetuista väitteistä.Hän selventää myös Linux Mintin syytä sulkea pois päivitykset tietyille paketeille oletusarvoisesti:
"Selitimme vuonna 2007, mitä puutteita Ubuntu suositteli käyttäjiensä sokeasti käyttämään kaikkia saatavilla olevia päivityksiä.Selitämme regressioihin liittyvät ongelmat ja toteutimme ratkaisun, josta olemme erittäin tyytyväisiä. "
Firefox päivittää automaattisesti Linux Mintin, samoin kuin Ubuntu. Itse asiassa molemmat jakelut käyttävät samaa pakkausta, joka on peräisin samasta arkistosta.
Linux Mintin ensisijainen argumentti on se, että paketin "sokeasti" päivittäminen kuten X.org-graafinen palvelin, käynnistyslataimen ja Linux-ytimen voi aiheuttaa ongelmia. Näiden alitasoisten pakettien päivitykset voivat tuoda vikoja tiettyihin laitteistoihin, mutta niiden ratkaisemat turvallisuusongelmat eivät ole todellisuudessa ongelma niille, jotka käyttävät Linux Mintia rennosti kotona. Esimerkiksi monet Linux-ytimen tietoturva-aukot ovat "paikallisen etuoikeuden eskaloitumisen" haavoittuvuuksia. Ne saattavat sallia, että käyttäjät, joilla on rajoitettu pääsy tietokoneeseen, tulevat pääkäyttäjiksi ja saavat täydellisen pääsyn, mutta niitä ei voi helposti hyödyntää selaimella, kuten tyypillinen Java-ongelman tietoturvaongelma.
Onko tämä todellisuudessa ongelma?
Molemmilla puolilla on hyviä argumentteja. Toisaalta on täysin totta, että Linux Mint on poistaa tiettyjen pakettien tietoturvapäivitykset käytöstä oletuksena. Tämä jättää Mint-järjestelmään, jolla on tunnetut tietoturvahaavat, joita voitaisiin teoriassa hyödyntää.
Toisaalta on totta, että näitä tietoturvahaavoittuvuuksia ei hyödynnetä aktiivisesti. Linux Mint ei päivitä ohjelmia, jotka ovat todellisessa hyökkäyksessä, kuten web-selaimissa. On myös totta, että X.orgin päivitykset ovat aiemmin aiheuttaneet ongelmia. Vuonna 2006 Ubuntu-päivitys rikkoi useiden Ubuntu-käyttäjien X-palvelimen, joka asensi sen, pakottamalla ne Linux-päätteeseen. Vaikuttavien käyttäjien oli korjattava järjestelmät terminaalista. Linux Mintin päivityksiä koskeva politiikka on kirjoitettu vain vuosi myöhemmin vuonna 2007, joten todennäköisesti tämä jakso vaikuttaa Linux Mintin nykyiseen asenteeseen.
Jos olet kotikäyttäjä, et todennäköisesti vaarannu Linux-ytimen virheestä johtuen. Tietenkin, jos suoritat palvelimen, joka on alttiina Internetille tai käytät yritystyöasemaa, jonka haluat rajoittaa pääsyä, varmista, että kaikki mahdolliset tietoturvapäivitykset on asennettu.
Tietoturvapäivitysten hallinta Linux Mint
: ssäJokainen Linux Mintin käyttäjä, joka haluaa saada kaikki Ubuntun käyttäjien tietoturvapäivitykset, voi ottaa heidät käyttöön Mintin Päivitys Managerissa. Näitä päivityksiä ei ole "hakkeroitu", mutta ne on oletusarvoisesti poistettu käytöstä.
Voit hallita tätä asetusta avaamalla Update Manager -sovelluksen työpöytäympäristön valikosta. Napsauta Muokkaa-valikkoa ja valitse Asetukset. Sen jälkeen voit valita asennettavien pakettien "tasot"."Tasot" määritellään aiemmin mainitsemassa Mint-päivitystiedostustiedostossa. Taso 1-3 on otettu käyttöön oletusarvoisesti, kun taas tasot 4-5 ovat oletusarvoisesti pois käytöstä.Firefox on taso 2-paketti, joka päivitetään oletuksena. X.org ja Linux-ytimessä ovat tasot 4 ja 5, joten niitä ei päivitetä oletusarvoisesti.
Ota tasot 4 ja 5 käyttöön ja saat samoja päivityksiä Ubuntussa - tulevat Ubuntun omilta päivitystoimistoilta - mutta sinulla on enemmän riskejä "regressioista", jotka aiheuttavat ongelmia.
Todellinen erimielisyys on filosofinen. Ubuntu huomasi, että olet päivittänyt kaikki oletusarvoisesti, poistamalla kaikki mahdolliset tietoturvahaavoittuvuudet - jopa sellaisia, joita ei todennäköisesti hyödynnetä kotikäyttöjärjestelmissä.Linux Mintin virheet ovat sellaisten päivitysten poistamisen puolella, jotka saattavat aiheuttaa ongelmia.
Mikä haluamasi ratkaisu tulee alas, mitä käytät tietokonetta varten ja kuinka mukava olet vaarassa.