29Aug
Linux Mint tidak aman, menurut pengembang Ubuntu yang bekerja dengan Canonical yang mengatakan bahwa dia tidak akan melakukan perbankan online-nya di Linux Mint PC.Pengembang menuduh Linux Mint "mengeluarkan" pembaruan penting. Apakah ini masalah nyata atau hanya takut-mongering?
Pengembang Ubuntu yang terlibat telah mendapatkan beberapa fakta yang salah dan merusak masalahnya sendiri, namun masih ada argumen nyata yang harus dilakukan di sini. Ubuntu dan Linux Mint menangani pembaruan dengan cara yang berbeda, dan masing-masing memiliki trade-offs sendiri.
Tuduhan Pengembang Ubuntu
Oliver Grawert, pengembang Ubuntu yang bekerja Canonical, memulai peperangan verbal dengan pesan ini di milis pengembang Ubuntu. Di dalamnya, dia menyatakan bahwa update keamanan "secara eksplisit dikeluarkan dari Linux Mint untuk Xorg, kernel, Firefox, bootloader dan berbagai paket lainnya".
Dia menyediakan link ke file peraturan Mint Update, yang menyatakan bahwa itu "adalah daftar paket [Mint] tidak akan pernah diperbarui." Ini salah - file melakukan sesuatu yang lebih rumit dari itu, tapi kita akan membahasnya nanti..Dia melanjutkan, "Saya akan mengatakan dengan paksa menjaga browser kernel atau xorg yang rentan di tempat alih-alih membiarkan pembaruan keamanan yang disediakan menjadi installer [sic] menjadikannya sistem yang rentan. .. Saya sendiri tidak akan melakukan perbankan online dengannya;)".
Beberapa tuduhan ini sama sekali tidak benar. Memang benar bahwa Linux Mint memblokir pembaruan untuk paket seperti server grafis X.org, kernel Linux, dan bootloader secara default. Namun, pembaruan ini tidak "dikeluarkan dari Linux Mint", seperti yang akan kami tunjukkan nanti. Linux Mint juga tidak memblokir update ke Firefox. Pembaruan pada browser web Firefox penting untuk keamanan dunia nyata dan diizinkan secara default, jadi tuduhan pengembang Ubuntu ini tidak tepat. Namun, masih ada argumen nyata di sini - Linux Mint tidak memblokir beberapa jenis pembaruan keamanan secara default. Tanggapan
Linux Mint
Pendiri Linux Mint dan pengembang utama Clement Lefebvre menanggapi tuduhan ini dengan sebuah posting blog. Di dalamnya, dia menunjukkan bahwa pengembang Ubuntu salah tentang tuduhan yang kami jelaskan di atas. Dia juga mengklarifikasi alasan Linux Mint untuk mengecualikan pembaruan untuk paket tertentu secara default:
"Kami menjelaskan pada tahun 2007, kekurangan apa adanya dengan cara Ubuntu merekomendasikan pengguna mereka untuk membabi buta menerapkan semua pembaruan yang ada. Kami menjelaskan masalah yang terkait dengan regresi dan kami menerapkan solusi yang sangat kami senangi. "
Firefox diperbarui secara otomatis oleh Linux Mint, seperti juga oleh Ubuntu. Sebenarnya, kedua distribusinya menggunakan paket yang sama yang berasal dari repositori yang sama. Argumen utama
Linux Mint adalah bahwa "membabi buta" memperbarui paket seperti server grafis X.org, bootloader, dan kernel Linux dapat menyebabkan masalah. Pembaruan paket tingkat rendah ini dapat mengenalkan bug pada beberapa jenis perangkat keras, sementara masalah keamanan yang mereka selesaikan sebenarnya bukan masalah bagi orang-orang yang menggunakan Linux Mint dengan santai di rumah. Sebagai contoh, banyak kelemahan keamanan di kernel Linux adalah kerentanan "esensi lokal".Mereka memungkinkan pengguna dengan akses terbatas ke komputer untuk menjadi pengguna root dan mendapatkan akses yang lengkap, namun tidak mudah dieksploitasi dari browser web seperti masalah keamanan khas di Jawa.
Apakah ini Sebenarnya Masalahnya?
Kedua belah pihak memiliki argumen yang bagus. Di satu sisi, benar-benar benar bahwa Linux Mint menonaktifkan pembaruan keamanan untuk paket tertentu secara default. Ini meninggalkan sistem Mint dengan kerentanan keamanan yang lebih dikenal, yang secara teoritis dapat dimanfaatkan.
Di sisi lain, memang benar bahwa kerentanan keamanan ini tidak dieksploitasi secara aktif. Linux Mint tidak memperbarui perangkat lunak yang berada di bawah serangan sebenarnya, seperti browser web. Juga benar bahwa update untuk X.org telah menyebabkan masalah di masa lalu. Pada tahun 2006, sebuah update Ubuntu memecahkan server X dari banyak pengguna Ubuntu yang memasangnya, memaksa mereka masuk ke terminal Linux. Pengguna yang terkena harus memperbaiki sistem mereka dari terminal. Kebijakan Linux Mint mengenai pembaruan dijabarkan hanya setahun kemudian di tahun 2007, jadi kemungkinan episode ini mempengaruhi pendirian Linux Mint saat ini.
Jika Anda pengguna desktop di rumah, Anda mungkin tidak akan terganggu karena kekurangan pada kernel Linux. Tentu saja, jika Anda menjalankan server yang terpapar Internet atau mengoperasikan workstation bisnis yang ingin Anda gunakan untuk membatasi akses, Anda harus memastikan semua pembaruan keamanan yang mungkin diinstal.
Mengendalikan Pembaruan Keamanan di Linux Mint
Setiap pengguna Linux Mint yang lebih suka memiliki semua pembaruan keamanan yang dapat diperoleh pengguna Ubuntu, dapat memungkinkan mereka masuk ke dalam Mint's Update Manager. Pembaruan ini tidak "diretas," tetapi hanya dinonaktifkan secara default.
Untuk mengontrol pengaturan ini, buka aplikasi Update Manager dari menu lingkungan desktop Anda. Klik menu Edit dan pilih Preferences. Anda kemudian dapat memilih "tingkat" paket yang ingin Anda instal."Tingkat" didefinisikan dalam berkas aturan pembaruan Mint yang telah kami sebutkan sebelumnya. Level 1-3 diaktifkan secara default, sedangkan level 4-5 dinonaktifkan secara default. Firefox adalah paket level 2, yang diperbarui secara default. X.org dan kernel Linux adalah level 4 dan 5, masing-masing, jadi tidak diperbarui secara default.
Aktifkan level 4 dan 5 dan Anda akan mendapatkan update yang sama dengan yang Anda lakukan di Ubuntu - berasal dari repositori pembaruan Ubuntu - tapi Anda akan lebih berisiko "regresi" yang mengenalkan masalah.
Ketidaksepakatan sebenarnya di sini adalah filosofis. Kegagalan Ubuntu di sisi memperbarui semuanya secara default, menghilangkan semua kemungkinan kerentanan keamanan - bahkan masalah yang tidak mungkin dieksploitasi pada sistem pengguna rumahan. Linux Mint errs di sisi tidak termasuk pembaruan yang berpotensi menimbulkan masalah.
Solusi mana yang Anda inginkan akan turun sesuai dengan apa yang Anda gunakan untuk komputer Anda dan seberapa nyaman Anda menghadapi risikonya.
