29Aug
" "Linux" monetų kalykla yra nesaugi, sakydama, kad netaikys savo internetinės bankininkystės "Linux Mint PC".Kūrėjas teigia, kad "Linux Mint" "pakabina" svarbius naujinius. Ar tai tikra problema ar tiesiog bauginimas?
Įtrauktas "Ubuntu" kūrėjas suklaidino tam tikras faktines aplinkybes ir sugadino jo atvejį, tačiau čia vis dar yra tikras argumentas."Ubuntu" ir "Linux Mint" įvairiais būdais tvarko atnaujinimus, kiekvienas turi savo kompromisus.
"Ubuntu Developer's Allegations"
Oliver Grawert, "Canonical" dirbantis "Ubuntu" kūrėjas, pradėjo žodinį karą su šiuo pranešimu Ubuntu kūrėjų pašto adresų sąraše. Jame jis teigė, kad saugos naujinimai "yra aiškiai įsilaužta iš" Linux Mint "" Xorg "," branduoliui "," Firefox "," bootloader "ir įvairiems kitiems paketams".
Jis pateikė nuorodą į failą "Mint Update Rules", nurodydamas, kad jis "paketų sąrašas [Mint] niekada nebus atnaujintas". Tai neteisinga - failas yra kažkas sudėtingesnis nei tas, bet mes einame į tai vėliau. Jis pridūrė: "Aš norėčiau tvirtai laikyti pažeidžiamą branduolio naršyklę ar xorg vietą, o ne leisti, kad teikiami saugos naujinimai būtų diegimo programa [sic], todėl ji tampa pažeidžiama sistema. .. Aš asmeniškai nebūčiau veikęs internetinės bankininkystės;".
Kai kurie iš šių teiginių yra visiškai neteisingi. Tiesa, "Linux Mint" pagal nutylėjimą blokuoja paketų, pvz., "X.org" grafinio serverio, "Linux" branduolio ir paleidimo tvarkyklės, atnaujinimus. Tačiau šie atnaujinimai nėra "įsilaužta iš" Linux "mėtų", kaip matysime vėliau."Linux Mint" taip pat neleidžia atnaujinti "Firefox"."Firefox" naršyklės naujiniai yra svarbūs realaus pasaulio saugumui ir yra numatytieji, todėl šie Ubuntu kūrėjo teiginiai yra netikslūs. Tačiau vis dar yra tikras argumentas - "Linux Mint" pagal numatytuosius nustatymus blokuoja tam tikrus saugos naujinimus.
"Linux Mint" atsakas
"Linux Mint" įkūrėjas ir švino kūrėjas Clementas Lefebvre atsakė į šiuos kaltinimus tinklaraščio įrašu. Jame jis atkreipia dėmesį į tai, kad Ubuntu kūrėjas buvo neteisingas dėl anksčiau paaiškintų teiginių.Jis taip pat paaiškina "Linux Mint" priežastis, kodėl nutylėjimą neįtraukiami tam tikrų paketų naujiniai:
"2007 m. Paaiškinome, kokie trūkumai buvo susiję su tuo, kaip Ubuntu rekomenduoja savo vartotojams aklai pritaikyti visus galimus atnaujinimus. Mes paaiškinome su regresijomis susijusias problemas ir įdiegėme sprendimą, kuriame mes esame labai patenkinti. "
" Firefox "automatiškai atnaujinamas" Linux Mint ", kaip ir Ubuntu. Iš tikrųjų abu paskirstymai naudoja tą patį paketą, kuris gaunamas iš tos pačios saugyklos.
"Linux Mint" pagrindinis argumentas yra tai, kad "aklai" atnaujinant paketus, pvz., "X.org" grafinį serverį, "bootloader" ir "Linux" branduolį, gali kilti problemų.Šių žemo lygio paketų atnaujinimai gali sukelti klaidas kai kurioms aparatinės įrangos rūšims, o jų išspręsti keliamos saugumo problemos iš tiesų nėra problema žmonėms, kurie netyčia naudoja "Linux" monetų kalyklą namuose. Pavyzdžiui, daugelis "Linux" branduolio saugumo trūkumų yra "vietinės privilegijos eskalavimo" pažeidžiamumas. Jie gali leisti vartotojams, turintiems ribotą prieigą prie kompiuterio, tapti pagrindiniu naudotoju ir gauti visišką prieigą, tačiau jie negali būti lengvai išnaudojami iš žiniatinklio naršyklės, kaip tai gali būti įprasta saugumo problema "Java".
Ar tai iš tikrųjų problema?
Abi pusės turi gerų argumentų.Viena vertus, visiškai tiesa, kad "Linux Mint" pagal nutylėjimą išjungia tam tikrų paketų saugos naujinimus. Tai palieka Mint sistemą, kurioje yra daugiau žinomų pažeidžiamumų, kurie teoriškai gali būti išnaudojami.
Kita vertus, tiesa, kad šios saugumo spragos nėra aktyviai išnaudojamos."Linux Mint" atnaujina programinę įrangą, kuri yra faktinio išpuolio, pvz., Interneto naršyklių.Taip pat tiesa, kad "X.org" atnaujinimai praeityje sukėlė problemų.2006 m. "Ubuntu" atnaujinimas sulaužė daugybę "Ubuntu" naudotojų, kurie jį įdiegė, "X" serverį, įvedant juos į "Linux" terminalą.Pažeisti vartotojai turėjo ištaisyti savo sistemas iš terminalo."Linux Mint" politika dėl atnaujinimų buvo išdėstyta tik po metų 2007 m., Todėl greičiausiai šis epizodas turėjo įtakos dabartinei "Linux Mint" pozicijai.
Jei esate namų kompiuterio naudotojas, tikriausiai nebus pažeista dėl "Linux" branduolio trūkumų.Žinoma, jei paleidžiate serverį, kuriame veikia internetas arba kuriate verslo darbo vietą, norite apriboti prieigą, turėtumėte užtikrinti, kad būtų įdiegti visi galimi saugos naujiniai.
"Linux Mint"
saugos naujinimų valdymasBet koks "Linux Mint" naudotojas, norintis turėti visus saugos naujinimus, kuriuos gali gauti Ubuntu vartotojai, gali juos įgalinti "Mint" naujinimo vadove.Šie atnaujinimai nėra "įsibrovę", bet pagal numatytuosius nustatymus jie išjungiami.
Norėdami valdyti šį nustatymą, atidarykite "Update Manager" programą iš darbalaukio aplinkos meniu. Spustelėkite meniu Redaguoti ir pasirinkite Nuostatos. Tada galėsite pasirinkti paketų "lygius", kuriuos norite įdiegti."Lygiai" apibrėžiami anksčiau minėtame "Mint" atnaujinimo taisyklių rinkmenoje. Pagal numatytuosius nustatymus įjungiami 1-3 lygiai, o 4-5 lygiai pagal nutylėjimą yra išjungiami."Firefox" yra 2 lygio paketas, kuris pagal numatytuosius nustatymus atnaujinamas."X.org" ir "Linux" branduolys yra lygiai 4 ir 5 atitinkamai, todėl jie nėra atnaujinami pagal nutylėjimą.
Įjunkite 4 ir 5 lygius ir gausite tuos pačius atnaujinimus, kuriuos galėtumėte naudoti "Ubuntu" - iš savo "Ubuntu" atnaujinimų saugyklų - bet jūs būsite labiau gresia "regresijos", kurios kelia problemų.
Tikras nesutarimas čia yra filosofinis. Pagal numatytuosius nustatymus "Ubuntu" klaidingai atnaujinamas viskas, pašalinant visas galimas saugumo spragas - net tuos, kurie vargu ar bus išnaudojami namų vartotojų sistemose."Linux Mint" klaida pašalina atnaujinimus, galinčius sukelti problemų.
Kuris sprendimas jums labiausiai atitiks tai, ką jūs naudojate savo kompiuteriui ir kaip jums patogu rizikuoti.