מפתחים אובונטו אומרים לינוקס מנטה הוא לא מאובטח.האם הם צודקים?

לינוקס מנטה הוא חסר ביטחון, על פי מפתח אובונטו קנוניקל, אשר אומר שהוא לא יעשה את הבנקאות המקוונת שלו על לינוקס Mint PC.היזם טוען כי לינוקס מנטה "פריצות החוצה" עדכונים חשובים.האם זו בעיה אמיתית או סתם הפחד?

מפתח אובונטו מעורב קיבל עובדות מסוימות לא בסדר ופגע במקרה שלו, אבל יש עדיין ויכוח אמיתי להיות כאן.אובונטו ולינוקס מינט מתמודדות עם עדכונים בדרכים שונות, ולכל אחת מהן יש מסחר משלה.

התנגדויות של אובונטו למפתחים

אוליבר גרארט, מפתח אובונטו קנוניקל, התחיל את הלחימה המילולית עם הודעה זו ברשימת התפוצה של מפתחי אובונטו.בהודעה, הוא ציין כי עדכוני אבטחה "מפורצים במפורש מתוך לינוקס מנטה עבור Xorg, הקרנל, פיירפוקס, bootloader וחבילות אחרות".

הוא סיפק קישור לקובץ הכללים לעדכון מנטה, וציין כי הוא "רשימת חבילות [Mint] לעולם לא תתעדכן". זה לא נכון - הקובץ עושה משהו מסובך יותר מזה, אבל נלך לזה מאוחר יותר.הוא המשיך: "הייתי אומר בתוקף לשמור על דפדפן ליבה פגיע או xorg במקום במקום לאפשר את עדכוני האבטחה המצורפים כדי להפוך את זה למערכת פגיע. .. אני אישית לא הייתי עושה בנקאות מקוונת עם זה;)".

חלק מההאשמות הללו אינן נכונות לחלוטין.נכון ש- Linux Mint חוסמת עדכונים עבור חבילות כגון השרת הגרפי של X.org, ליבת Linux ו- Bootloader כברירת מחדל.עם זאת, עדכונים אלה אינם "פרוצים מתוך לינוקס מנטה", כפי שנראה בהמשך.לינוקס מנטה גם לא לחסום עדכונים ל- Firefox.עדכונים לדפדפן האינטרנט פיירפוקס חשובים עבור אבטחה בעולם האמיתי, והם מותרים כברירת מחדל, כך שההאשמות של מפתחי אובונטו אינן מקובלות.עם זאת, יש עדיין ויכוח אמיתי כאן - לינוקס מנטה לחסום סוגים מסוימים של עדכוני אבטחה כברירת מחדל.

תגובה של מינט לינוקס

מייסד לינוקס מינט ומוביל הפיתוח קלמנט לפבר הגיב להאשמות אלו עם פוסט בבלוג.בה הוא מציין שמפתחי אובונטו לא נכונים לגבי הטענות שהוסברנו לעיל.הוא גם מבהיר את הסיבה של לינוקס מנטה לאי-הכללת עדכונים לחבילות מסוימות כברירת מחדל:

"הסברנו בשנת 2007 את החסרונות לגבי האופן שבו אובונטו ממליצה למשתמשים שלהם ליישם באופן עיוור את כל העדכונים הזמינים.הסברנו את הבעיות הקשורות ברגרסיות ויישמנו פתרון שאנחנו מאוד מרוצים ממנו. "

Firefox מתעדכן באופן אוטומטי על ידי לינוקס מנטה, בדיוק כמו על ידי אובונטו.למעשה, שתי ההפצות משתמשות באותה אריזה שמגיעה מאותו מאגר.

הטענה העיקרית של לינוקס מינט היא ש"חדשות "מעדכנות חבילות כמו השרת הגרפי של X.org, Bootloader ו- Linux של לינוקס יכולות לגרום לבעיות.עדכונים אלה חבילות ברמה נמוכה יכול להציג באגים על כמה סוגים של חומרה, בעוד בעיות אבטחה שהם לפתור הם לא ממש בעיה עבור אנשים המשתמשים לינוקס מנטה כבדרך אגב בבית.לדוגמה, פגמים רבים במערכת הליבה של לינוקס הם פגיעות של "הרשאה מקומית".הם עשויים לאפשר למשתמשים בעלי גישה מוגבלת למחשב להפוך למשתמש הבסיס ולהשיג גישה מלאה, אך לא ניתן לנצל אותם בקלות מדפדפן אינטרנט כמו בעיית אבטחה טיפוסית ב- Java.האם זה באמת בעיה?

לשני הצדדים יש טיעונים טובים.מצד אחד, זה בהחלט נכון כי לינוקס מנטה היא השבתת עדכוני אבטחה עבור חבילות מסוימות כברירת מחדל.זה משאיר מערכת מנטה עם פגיעויות אבטחה ידוע יותר, אשר יכול תיאורטית להיות מנוצל.

מצד שני, זה נכון כי פגיעויות אבטחה אלה אינם מנוצלים באופן פעיל.לינוקס מנטה עושה עדכון תוכנה זה תחת התקפה בפועל, כמו דפדפני אינטרנט.נכון גם שהעדכונים ל- X.org גרמו לבעיות בעבר.ב -2006, עדכון של אובונטו שבר את שרת ה- X של משתמשי אובונטו רבים שתקנו אותו, ואילצו אותם אל מסוף לינוקס.משתמשים מושפעים נאלצו לתקן את המערכות שלהם מהמסוף.המדיניות של לינוקס מינט על עדכונים פורסמה רק שנה מאוחר יותר ב -2007, ולכן סביר להניח שהפרשה זו השפיעה על העמדה הנוכחית של לינוקס מינט.

אם אתה משתמש ביתי, סביר להניח שלא תיפגע בגלל פגם בליבת לינוקס.כמובן, אם אתה מפעיל שרת שנחשף לאינטרנט או להפעיל תחנת עבודה עסקית אתה רוצה להגביל את הגישה, אתה צריך לוודא את כל עדכוני האבטחה האפשריים מותקנים.שליטה על עדכוני אבטחה ב - לינוקס מנטה

כל משתמש של לינוקס מנטה, שמעדיף לקבל את כל עדכוני האבטחה שמגיעים משתמשי Ubuntu, יכול לאפשר אותם מתוך מנהל העדכונים של Mint.עדכונים אלה אינם "נפרצים", אך הם פשוט מושבתים כברירת מחדל.

כדי לשלוט בהגדרה זו, פתח את היישום Update Manager מתפריט סביבת שולחן העבודה שלך.לחץ על התפריט עריכה ובחר העדפות.לאחר מכן תוכל לבחור את "רמות" של חבילות אתה רוצה להתקין."רמות" מוגדרות בקובץ כללי עדכון Mint שהזכרנו קודם לכן.רמות 1-3 מופעלות כברירת מחדל, בעוד רמות 4-5 מושבתות כברירת מחדל.Firefox היא חבילת רמה 2, המתעדכנת כברירת מחדל.X.org וקרנל לינוקס הם רמות 4 ו -5, בהתאמה, ולכן הם לא מעודכנים כברירת מחדל.

אפשר רמות 4 ו- 5 ותקבל את אותם עדכונים שהיו לך באובונטו - בא ממאגרי העדכון של אובונטו - אבל אתה תהיה בסיכון גבוה יותר ל"רגרסיות "שמציגות בעיות.

המחלוקת האמיתית כאן היא פילוסופית.אובונטו טוענת בצד של עדכון כל דבר כברירת מחדל, ומבטלת את כל נקודות התורפה האפשריות לאבטחה - גם כאלה שלא צפויות להיות מנוצלות במערכות משתמש ביתיות.לינוקס Mint שגיאות בצד של למעט עדכונים שעלולים לגרום לבעיות.

איזה פתרון אתה מעדיף יגיע מה אתה משתמש במחשב שלך וכמה נוח אתה עם הסיכונים.