29Aug
A Linux Mint nem biztonságos, egy Canonicalus alkalmazott Ubuntu fejlesztő szerint, aki azt állítja, hogy nem teszi online bankolását Linux Mint PC-n. A fejlesztő azt állítja, hogy a Linux Mint "feltörti" a fontos frissítéseket. Ez egy igazi probléma vagy csak félelem-kínzás?
Az érintett Ubuntu fejlesztő bizonyos tényeket hibázott, és megsérült a saját ügye, de még mindig van igazi érv, hogy itt legyenek. Az Ubuntu és a Linux Mint a különböző típusú frissítésekkel foglalkozik, és mindegyiknek megvannak a saját kompromisszumai.
Ubuntu Developer állításai
Oliver Grawert, egy kanonikus alkalmazott Ubuntu fejlesztő, elkezdte a verbális hadviselést ezzel az üzenettel az Ubuntu fejlesztői levelezési listáján. Ebben állította, hogy a biztonsági frissítéseket "kifejezetten feltörte a Linux Mint for Xorg, a rendszermag, a Firefox, a bootloader és számos más csomag".
A Mint frissítés szabályfájlhoz mutatott linket, és kijelentette, hogy "a csomagok listája [Mint] soha nem fog frissíteni." Ez helytelen - a fájl valami bonyolultabb, mint a későbbiekben. Továbbra is: "azt mondanám, hogy erőteljesen tartani kell egy sebezhető rendszermag böngészőt vagy xorg-ot ahelyett, hogy lehetővé tenné, hogy a megadott biztonsági frissítések telepítőként legyenek [sic] sebezhetővé teszik a rendszert. .. személyesen nem csinálnék velük online banki tevékenységet;)".
Ezek az állítások egyáltalán nem igazak. Igaz, hogy a Linux Mint blokkolja az olyan csomagok frissítését, mint az X.org grafikus kiszolgáló, a Linux kernel és a rendszerbetöltõ.Azonban ezek a frissítések nem "feltörnek a Linux Mintból", ahogy azt később mutatjuk be. A Linux Mint nem blokkolja a Firefox frissítéseit sem. A Firefox böngészőjének frissítései fontosak a valós biztonság érdekében, és alapértelmezés szerint engedélyezettek, így ez az Ubuntu fejlesztő állításai nem megfelelőek. Azonban még mindig van valódi érv - a Linux Mint alapértelmezés szerint bizonyos típusú biztonsági frissítéseket blokkol.
Linux Mint válasza
A Linux Mint alapítója és vezető fejlesztője, Clement Lefebvre egy blogbejegyzéssel válaszolt ezekre a vádakra. Ebben a cikkben rámutat arra, hogy az Ubuntu fejlesztõje helytelen volt a fentiekben ismertetett állításokkal kapcsolatban. Azt is tisztázza a Linux Mint okát, hogy alapértelmezés szerint kizárja az egyes csomagok frissítéseit:
"2007-ben elmagyaráztuk, milyen hiányosságok voltak az Ubuntu által javasolt módon, hogy vakon alkalmazzák az összes rendelkezésre álló frissítést. Megmagyaráztuk a regresszióval kapcsolatos problémákat, és olyan megoldást vezettünk be, amelyre nagyon boldogok vagyunk. "
A Firefox automatikusan frissíti a Linux Mint-ot, akárcsak az Ubuntu. Valójában mindkét disztribúció ugyanazt a csomagot használja, amely ugyanabból az adattárból származik. Az
Linux Mint elsődleges érve az, hogy a "vakon" frissítõ csomagok, például az X.org grafikus kiszolgáló, a bootloader és a Linux kernel problémákat okozhatnak. Az alacsony szintű csomagok frissítése egyes hardverfajták hibáit vezetheti be, míg a megoldandó biztonsági problémák valójában nem jelentenek problémát azok számára, akik otthoni használatra alkalmassá teszik a Linux Mint programot. Például a Linux kernelben számos biztonsági hiba a "helyi kiváltságnövelés" sebezhetőség. Lehet, hogy a korlátozott hozzáférésű felhasználók számára lehetővé válik, hogy root felhasználóként hozzáférjenek, és teljes hozzáférést kapjanak, de nem könnyű őket kihasználni egy böngészőből, mint például a Java egyik tipikus biztonsági problémája.
Ez tényleg probléma?
Mindkét fél jó érvvel bír. Egyrészt teljes mértékben igaz, hogy a Linux Mint az alapértelmezés szerint bizonyos csomagok biztonsági frissítését letiltja. Ezzel a Mentőrendszerrel olyan ismert biztonsági résekkel találkozhatunk, amelyek elméletileg kihasználhatók.
Másrészt igaz, hogy ezeket a biztonsági réseket nem használják aktívan. A Linux Mint nem frissít szoftvereket, amelyek tényleges támadás alatt állnak, mint a webböngészők. Az is igaz, hogy az X.org frissítései problémákat okoztak a múltban.2006-ban egy Ubuntu frissítés megtörte számos olyan Ubuntu-felhasználó X kiszolgálóját, amely telepítette, és kényszerítette őket a Linux terminálra. Az érintett felhasználóknak meg kellett javítaniuk rendszereiket a terminálról. A Linux Mint pénzügyminiszterének házirendjét csak egy évvel később tették közzé 2007-ben, így valószínűleg ez az epizód hatással volt a Linux Mint jelenlegi helyzetére.
Ha otthoni asztali felhasználó vagy, akkor valószínűleg nem lesz veszélyeztetve a Linux kernel hibája miatt. Természetesen ha olyan kiszolgálót futtat, amely ki van téve az internetnek, vagy olyan üzleti munkaállomást működtet, amely korlátozni szeretné a hozzáférést, biztosítania kell minden lehetséges biztonsági frissítést.
A biztonsági frissítések ellenőrzése Linux Mint
verzióbanBármely Linux Mint felhasználó, aki inkább az összes Ubuntu biztonsági frissítést kapná, lehetővé teheti számukra a Mint frissítéskezelőjétől. Ezeket a frissítéseket nem "kiiktatják", de alapértelmezés szerint csak letiltják őket.
A beállítás vezérléséhez nyissa meg az Update Manager alkalmazást az asztali környezet menüjéből. Kattintson a Szerkesztés menüre, és válassza a Beállítások lehetőséget. Ezután kiválaszthatja a telepíteni kívánt csomagok "szintjét".A "szintek" a korábban említett pénzverde-frissítési szabályok fájlban vannak meghatározva. Az 1-3-as szintek alapértelmezés szerint engedélyezettek, míg a 4-5 szintek alapértelmezés szerint le vannak tiltva. A Firefox egy 2. szintű csomag, amelyet alapértelmezés szerint frissítenek. Az X.org és a Linux kernel a 4. és az 5. szint, ezért alapértelmezés szerint nem frissülnek.
Engedélyezze a 4. és az 5. szintet, és ugyanazokat a frissítéseket kapja az Ubuntu-ban - az Ubuntu saját frissítő adattáiból származik -, de nagyobb kockázatot jelent a "regresszió", amely problémákat vet fel.
A valódi nézeteltérés filozófiai. Az Ubuntu alapértelmezés szerint hibásan frissíti az összeset, kiküszöböli az összes lehetséges biztonsági rést - még azokat is, amelyek valószínűleg nem lesznek kihasználva a hazai felhasználói rendszereken. A Linux Mint az oldalán olyan hibák kiküszöbölését okozza, amelyek potenciálisan problémákat okozhatnak.
Melyik megoldást választja a számítógépe használatához és milyen kényelmesen viseli a kockázatokat.