Ubuntu Developers Say Linux Mint jest niezabezpieczony. Czy oni mają rację?
Linux Mint jest niezabezpieczony, jak twierdzi opracowany przez Canonical programista Ubuntu, który twierdzi, że nie zrobiłby swojej bankowości internetowej na komputerze z Linux Mint. Twórca twierdzi, że Linux Mint "wyłapuje" ważne aktualizacje. Czy to jest prawdziwy problem, czy po prostu strach?
Deweloper oprogramowania Ubuntu pozbył się pewnych faktów i zniszczył własną sprawę, ale nadal istnieje tu spory argument. Ubuntu i Linux Mint radzą sobie z aktualizacjami na różne sposoby, a każdy z nich ma własne kompromisy.
Zgłoszenia deweloperów Ubuntu
Oliver Grawert, kanonicznie zatrudniony programista Ubuntu, rozpoczął walkę słowną z tą wiadomością na liście dyskusyjnej programistów Ubuntu. W nim stwierdził, że aktualizacje zabezpieczeń "są jawnie zhakowane z Linux Mint dla Xorg, jądra, Firefoxa, bootloadera i różnych innych pakietów".
Podał link do pliku reguł aktualizacji Mint, stwierdzając, że "jest to lista pakietów [Mint] nigdy się nie zaktualizuje." Jest to niepoprawne - plik robi coś bardziej skomplikowanego, ale zajmiemy się nim później. Kontynuował: "powiedziałbym z siłą, utrzymując wrażliwą przeglądarkę jądra lub xorga zamiast pozwalać, aby dostarczone aktualizacje bezpieczeństwa były instalatorem [sic], czyni to system wrażliwym ... osobiście nie zrobiłbym z nim bankowości internetowej;)".
Niektóre z tych zarzutów są całkowicie nieprawdziwe. To prawda, że Linux Mint blokuje aktualizacje pakietów, takich jak serwer graficzny X.org, jądro Linux i domyślnie bootloader. Jednak te aktualizacje nie są "zhakowane z mennicy systemu Linux", jak pokażemy później. Linux Mint również nie blokuje aktualizacji Firefoksa. Aktualizacje przeglądarki Firefox są ważne dla bezpieczeństwa w realnym świecie i są domyślnie dozwolone, więc te zarzuty deweloperów Ubuntu są nie na miejscu. Jednak nadal istnieje tu poważny argument - Linux Mint domyślnie blokuje niektóre typy aktualizacji zabezpieczeń.
Odpowiedź mennicy linuksowej
Założyciel Linuxa i główny programista Clement Lefebvre odpowiedzieli na te oskarżenia za pomocą posta na blogu. Wskazuje w nim, że deweloper Ubuntu nie miał racji co do zarzutów, które wyjaśniliśmy powyżej. Wyjaśnia także powód Linux Mint do domyślnego wykluczania aktualizacji dla niektórych pakietów:
"Wyjaśniliśmy w 2007 r., Jakie były niedociągnięcia w sposobie, w jaki Ubuntu zaleca swoim użytkownikom ślepe zastosowanie wszystkich dostępnych aktualizacji. Wyjaśniliśmy problemy związane z regresją i wdrożyliśmy rozwiązanie, z którego jesteśmy bardzo zadowoleni. "
Firefox jest automatycznie aktualizowany przez system Linux Mint, podobnie jak w systemie Ubuntu. W rzeczywistości obie dystrybucje używają tego samego pakietu, który pochodzi z tego samego repozytorium.
Podstawowym argumentem Linux Mint jest to, że "ślepo" aktualizowanie pakietów takich jak graficzny serwer X.org, bootloader i jądro Linuksa może powodować problemy. Aktualizacje tych niskopoziomowych pakietów mogą wprowadzać błędy na niektórych typach sprzętu, podczas gdy problemy bezpieczeństwa, które rozwiązują, nie stanowią problemu dla osób, które używają Minta Linux w domu. Na przykład wiele luk w zabezpieczeniach jądra systemu Linux to luki "eskalacji lokalnych uprawnień". Mogą pozwolić użytkownikom z ograniczonym dostępem do komputera, aby stali się rootami i uzyskać pełny dostęp, ale nie mogą być łatwo wykorzystani z przeglądarki internetowej, jak typowy problem bezpieczeństwa w Javie..
Czy to rzeczywiście jest problem??
Obie strony mają dobre argumenty. Z jednej strony, absolutnie prawdą jest, że Linux Mint domyślnie wyłącza aktualizacje bezpieczeństwa dla niektórych pakietów. Pozostawia to system Mint z bardziej znanymi lukami w zabezpieczeniach, które teoretycznie mogłyby zostać wykorzystane.
Z drugiej strony jest prawdą, że te luki w zabezpieczeniach nie są aktywnie wykorzystywane. Linux Mint aktualizuje oprogramowanie, które znajduje się pod rzeczywistym atakiem, takie jak przeglądarki internetowe. Prawdą jest również, że aktualizacje X.org spowodowały problemy w przeszłości. W 2006 r. Aktualizacja systemu Ubuntu złamała serwer X wielu użytkowników Ubuntu, którzy go zainstalowali, zmuszając ich do korzystania z terminala systemu Linux. Dotknięci użytkownicy musieli naprawić swoje systemy z terminala. Polityka Linuxa dotycząca aktualizacji została wydana zaledwie rok później, w 2007 roku, więc prawdopodobnie ten epizod wpłynął na obecne stanowisko Linuksa Mint.
Jeśli jesteś użytkownikiem domowego komputera stacjonarnego, prawdopodobnie nie zostaniesz narażony na szwank z powodu błędu w jądrze Linuksa. Oczywiście, jeśli uruchomisz serwer, który jest narażony na działanie Internetu lub działa stacja robocza firmy, którą chcesz ograniczyć dostęp, powinieneś upewnić się, że wszystkie możliwe aktualizacje zabezpieczeń są zainstalowane.
Kontrolowanie aktualizacji zabezpieczeń w mennicy systemu Linux
Każdy użytkownik Linux Mint, który wolałby, aby wszyscy użytkownicy aktualizacji Ubuntu otrzymywali aktualizacje zabezpieczeń, może włączyć je w Menadżerze aktualizacji Mennicy. Te aktualizacje nie są "zhakowane", ale są domyślnie wyłączone.
Aby kontrolować to ustawienie, otwórz aplikację Update Manager w menu środowiska twojego komputera. Kliknij menu Edycja i wybierz Preferencje. Będziesz wtedy mógł wybrać "poziomy" pakietów, które chcesz zainstalować. "Poziomy" są zdefiniowane w pliku reguł aktualizacji mennicy, o którym wspominaliśmy wcześniej. Poziomy 1-3 są domyślnie włączone, a poziomy 4-5 są domyślnie wyłączone. Firefox to pakiet na poziomie 2, który jest domyślnie aktualizowany. X.org i jądro Linuksa mają odpowiednio poziomy 4 i 5, więc nie są domyślnie aktualizowane.
Włącz poziomy 4 i 5, a otrzymasz te same aktualizacje, które zrobiłbyś w Ubuntu - pochodzące z własnych repozytoriów aktualizacji Ubuntu - ale będziesz bardziej narażony na "regresje", które wprowadzają problemy.
Rzeczywisty spór tutaj jest filozoficzny. Ubuntu jest po stronie aktualizacji domyślnie, eliminując wszystkie możliwe luki w zabezpieczeniach - nawet te, które są mało prawdopodobne, aby były wykorzystywane w systemach domowych. Linux Mint błądzi po stronie wykluczania aktualizacji, które mogą potencjalnie powodować problemy.
To, które rozwiązanie wolisz, sprowadza się do tego, do czego używasz komputera i jak wygodne jest twoje ryzyko.