29Aug
Linux Mint er usikkert, ifølge en Canonical-ansatt Ubuntu-utvikler som sier at han ikke ville gjøre sin nettbank på en Linux Mint PC.Utvikleren påstår at Linux Mint "hacks ut" viktige oppdateringer. Er dette et reelt problem eller bare frykt-mongering?
Den involverte Ubuntu-utvikleren har fått visse fakta galt og skadet sitt eget tilfelle, men det er fortsatt et reelt argument å være her. Ubuntu og Linux Mint håndterer oppdateringer på forskjellige måter, og hver har sine egne avveier.
En Ubuntu-utvikleres påstander
Oliver Grawert, en kanonisk-ansatt Ubuntu-utvikler, startet den verbale krigføring med denne meldingen på Ubuntu-utviklernes mailingliste. I den oppgav han at sikkerhetsoppdateringer "eksplisitt hackes ut av Linux Mint for Xorg, kjernen, Firefox, bootloaderen og diverse andre pakker".
Han ga en lenke til Mint Update reglerfilen, og sier at det er "en liste over pakker [Mint] vil aldri oppdatere." Dette er feil - filen gjør noe mer komplisert enn det, men vi går inn i det senere. Han fortsatte: "Jeg vil si at det er kraftig å holde en sårbar kjernebrowser eller xorg på plass i stedet for å la de angitte sikkerhetsoppdateringene være installatør [sic] gjør det til et sårbart system. .. Jeg ville personlig ikke gjøre nettbank med det;)".
Noen av disse påstandene er helt usanne. Det er sant at Linux Mint blokkerer oppdateringer for pakker som X.org-grafisk server, Linux-kjernen og oppstartslader som standard. Disse oppdateringene er imidlertid ikke "hacked out of Linux Mint," som vi viser senere. Linux Mint blokkerer ikke oppdateringer til Firefox. Oppdateringer til Firefox-nettleseren er viktige for sikkerheten i verden og er tillatt som standard, så denne Ubuntu-utviklerens påstander er off-point. Men det er fortsatt et reelt argument her - Linux Mint blokkerer visse typer sikkerhetsoppdateringer som standard.
Linux Mint Svar
Linux Mint grunnlegger og ledende utvikler Clement Lefebvre reagerte på disse anklagene med et blogginnlegg. I den peker han på at Ubuntu-utvikleren var feilaktig om påstandene vi forklarte ovenfor. Han forklarer også Linux Mints grunn til å ekskludere oppdateringer for bestemte pakker som standard:
"Vi forklarte i 2007 hva manglene var med måten Ubuntu anbefaler at brukerne blindt bruker alle tilgjengelige oppdateringer. Vi forklarte problemene knyttet til regresjoner, og vi implementerte en løsning som vi er veldig fornøyd med. "
Firefox oppdateres automatisk av Linux Mint, akkurat som det er av Ubuntu. Faktisk bruker begge distribusjoner samme pakke som kommer fra det samme lageret.
Linux Mints primære argument er at "blindt" oppdatering av pakker som X.org grafisk server, bootloader og Linux-kjernen kan forårsake problemer. Oppdateringer til disse lavnivåpakker kan introdusere feil på enkelte typer maskinvare, mens sikkerhetsproblemene de løser, ikke er et problem for folk som bruker Linux Mint tilfeldig hjemme. For eksempel er mange sikkerhetsfeil i Linux-kjernen "sårbarheter for lokal privilegium eskalering".De kan tillate brukere med begrenset tilgang til datamaskinen til å bli roten bruker og få full tilgang, men de kan ikke lett utnyttes fra en nettleser som et typisk sikkerhetsproblem i Java kunne.
er dette egentlig et problem?
Begge sider har gode argumenter. På den ene siden er det helt sant at Linux Mint deaktiverer sikkerhetsoppdateringer for bestemte pakker som standard. Dette etterlater et Mint-system med mer kjente sikkerhetsproblemer, som teoretisk kunne utnyttes.
På den annen side er det sant at disse sikkerhetsproblemene ikke utnyttes aktivt. Linux Mint oppdaterer programvare som er under faktisk angrep, som nettlesere. Det er også sant at oppdateringer til X.org har forårsaket problemer tidligere. I 2006 brøt en Ubuntu-oppdatering X-serveren til mange Ubuntu-brukere som installerte den, og tvinger dem til Linux-terminalen. Berørte brukere måtte reparere sine systemer fra terminalen. Linux Mints retningslinjer for oppdateringer ble stavet ut bare et år senere i 2007, så det er sannsynlig at denne episoden påvirket Linux Mints nåværende holdning.
Hvis du er en hjemme desktop bruker, vil du sannsynligvis ikke bli kompromittert på grunn av en feil i Linux-kjernen. Selvfølgelig, hvis du kjører en server som er utsatt for Internett eller driver en arbeidsstasjon du vil begrense tilgang til, bør du sørge for at alle mulige sikkerhetsoppdateringer er installert.
Kontrollerer sikkerhetsoppdateringer i Linux Mint
Enhver Linux Mint-bruker som helst vil ha alle sikkerhetsoppdateringene Ubuntu-brukere får, kan aktivere dem fra Mint's Update Manager. Disse oppdateringene er ikke "hacked out", men deaktiveres som standard.
Hvis du vil kontrollere denne innstillingen, åpner du programmet Update Manager fra skrivebordsmiljømenyen. Klikk på Rediger-menyen, og velg Innstillinger. Deretter kan du velge "nivåene" av pakker du vil installere."Nivåer" er definert i Mint Update Rules-filen vi nevnte tidligere. Nivå 1-3 er aktivert som standard, mens nivå 4-5 er deaktivert som standard. Firefox er en nivå 2-pakke, som oppdateres som standard. X.org og Linux-kjernen er henholdsvis nivå 4 og 5, slik at de ikke oppdateres som standard.
Aktiver nivå 4 og 5, og du får de samme oppdateringene du vil i Ubuntu - kommer fra Ubuntus egen oppdateringsrekvisita - men du vil være mer utsatt for "regressions" som introduserer problemer.
Den virkelige uenigheten her er en filosofisk. Ubuntu errs ved siden av å oppdatere alt som standard, og eliminerer alle mulige sikkerhetsproblemer - selv de som ikke vil bli utnyttet på hjemmebrukere. Linux Mint errs på siden av å ekskludere oppdateringer som potensielt kan forårsake problemer.
Hvilken løsning du foretrekker, kommer ned til det du bruker datamaskinen til og hvor komfortabel du er med risikoen.