Linux Mint je nejistý, tvrdí Canonical zaměstnán vývojář Ubuntu, který říká, že nebude dělat své online bankovnictví na počítači Linux Mint. Vývojář tvrdí, že Linux Mint „hackuje“ důležité aktualizace. Je to skutečný problém nebo jen vyvolávání strachu?
Zainteresovaný vývojář Ubuntu se dopustil určitých faktů špatně a poškodil svůj vlastní případ, ale stále zde existuje skutečný argument. Ubuntu a Linux Mint vypořádat se s aktualizacemi různými způsoby a každý má své vlastní kompromisy.
Obvinění vývojáře Ubuntu
Oliver Grawert, vývojář Ubuntu pro Canonical, zahájil slovní válku s tato zpráva na mailing listu vývojářů Ubuntu. V něm uvedl, že bezpečnostní aktualizace „jsou výslovně napadeny z Linux Mint pro Xorg, jádro, Firefox, bootloader a různé další balíčky“.
Poskytl odkaz na soubor pravidel Mint Update s tím, že „jde o seznam balíků, které se [Mint] nikdy neaktualizují.“ To je nesprávné - soubor dělá něco komplikovanějšího, ale budeme se tím zabývat později. Pokračoval: „Řekl bych, že důrazně nechávám na svém místě zranitelný prohlížeč jádra nebo xorg, místo toho, abych umožňoval instalační aktualizaci poskytovaných bezpečnostních aktualizací [sic], což z něj dělá zranitelný systém ... Já osobně bych s ním online bankovnictví neudělal;)“.
Některá z těchto obvinění jsou zcela nepravdivá. Je pravda, že Linux Mint ve výchozím nastavení blokuje aktualizace balíčků, jako je grafický server X.org, linuxové jádro a bootloader. Tyto aktualizace však nejsou „hacknuty z Linux Mint“, jak si ukážeme později. Linux Mint také neblokuje aktualizace Firefoxu. Aktualizace webového prohlížeče Firefox jsou důležité pro zabezpečení v reálném světě a jsou ve výchozím nastavení povoleny, takže obvinění tohoto vývojáře Ubuntu jsou nepřiměřená. Stále však existuje skutečný argument - Linux Mint ve výchozím nastavení blokuje určité typy aktualizací zabezpečení.
Odpověď Linux Mint
Zakladatel a vedoucí vývojář Linux Mint Clement Lefebvre na tato obvinění odpověděl příspěvek na blogu . V něm poukazuje na to, že vývojář Ubuntu neměl pravdu ohledně obvinění, která jsme vysvětlili výše. Objasňuje také důvod, proč Linux Mint ve výchozím nastavení vylučuje aktualizace pro určité balíčky:
„V roce 2007 jsme vysvětlili, jaké byly nedostatky ve způsobu, jakým Ubuntu doporučuje svým uživatelům slepě používat všechny dostupné aktualizace. Vysvětlili jsme problémy spojené s regresemi a implementovali jsme řešení, s nímž jsme velmi spokojeni. “
Firefox je automaticky aktualizován Linux Mint, stejně jako Ubuntu. Ve skutečnosti obě distribuce používají stejný balíček, který pochází ze stejného úložiště.
Primárním argumentem Linux Mint je, že „slepá“ aktualizace balíčků, jako je grafický server X.org, bootloader a linuxové jádro, může způsobit problémy. Aktualizace těchto nízkoúrovňových balíčků mohou zavést chyby na některých typech hardwaru, zatímco problémy se zabezpečením, které řeší, ve skutečnosti nejsou problémem pro lidi, kteří Linux Mint používají doma. Například mnoho bezpečnostních nedostatků v linuxovém jádru je zranitelností „eskalace místních oprávnění“. Mohou umožnit uživatelům s omezeným přístupem k počítači, aby se stali uživateli root a získali úplný přístup, ale nelze je snadno zneužít z webového prohlížeče jako typický bezpečnostní problém v Javě mohl.
Je to ve skutečnosti problém?
Obě strany mají dobré argumenty. Na jedné straně je naprosto pravda, že Linux Mint ve výchozím nastavení zakazuje aktualizace zabezpečení pro určité balíčky. To ponechává systému Mint více známých bezpečnostních zranitelností, které by teoreticky mohly být zneužity.
Na druhou stranu je pravda, že tyto chyby zabezpečení nejsou aktivně využívány. Linux Mint aktualizuje software, který je pod skutečným útokem, například webové prohlížeče. Je také pravda, že aktualizace X.org způsobovaly v minulosti problémy. V roce 2006 aktualizace Ubuntu rozbila X server mnoha uživatelů Ubuntu, kteří si ji nainstalovali, a nutila je do terminálu Linux. Ovlivnění uživatelé museli opravit své systémy z terminálu. Zásady Linux Mint týkající se aktualizací byly vysvětleny jen o rok později v roce 2007, takže je pravděpodobné, že tato epizoda ovlivnila současný postoj Linux Mint.
Pokud používáte domácí desktop, pravděpodobně nebudete kompromitováni kvůli chybě v jádře Linuxu. Samozřejmě, pokud provozujete server vystavený internetu nebo provozujete pracovní stanici, ke které chcete omezit přístup, měli byste zajistit, aby byly nainstalovány všechny možné aktualizace zabezpečení.
Řízení aktualizací zabezpečení v systému Linux Mint
Každý uživatel Linux Mint, který by raději měl všechny bezpečnostní aktualizace, které uživatelé Ubuntu dostanou, je může povolit v rámci Správce aktualizací Mint. Tyto aktualizace nejsou „hacknuty“, ale jsou ve výchozím nastavení pouze deaktivovány.
Toto nastavení můžete ovládat otevřením aplikace Správce aktualizací z nabídky prostředí vašeho počítače. Klikněte na nabídku Úpravy a vyberte Předvolby. Poté si budete moci vybrat „úrovně“ balíčků, které chcete nainstalovat. „Úrovně“ jsou definovány v souboru pravidel aktualizace mincovny, který jsme zmínili dříve. Úrovně 1–3 jsou ve výchozím nastavení povoleny, zatímco úrovně 4–5 jsou ve výchozím nastavení deaktivovány. Firefox je balíček úrovně 2, který je ve výchozím nastavení aktualizován. X.org a jádro Linuxu jsou úrovně 4, respektive 5, takže se ve výchozím nastavení neaktualizují.
Povolte úrovně 4 a 5 a získáte stejné aktualizace, jaké byste měli v Ubuntu - pocházející z vlastních úložišť aktualizací Ubuntu - ale budete více ohroženi „regresemi“, které způsobují problémy.
Skutečná neshoda je zde filozofická. Ubuntu se při aktualizaci všeho ve výchozím nastavení chybuje a eliminuje všechny možné chyby zabezpečení - dokonce i ty, u nichž je nepravděpodobné, že by byly zneužity v domácích uživatelských systémech. Linux Mint se potýká s vyloučením aktualizací, které by mohly způsobit problémy.
Které řešení upřednostňujete, záleží na tom, k čemu počítač používáte a jak jste spokojeni s riziky.
