Linux Mint es inseguro, según un desarrollador de Ubuntu empleado por Canonical que dice que no haría sus operaciones bancarias en línea en una PC Linux Mint. El desarrollador alega que Linux Mint "piratea" actualizaciones importantes. ¿Es esto un problema real o simplemente un alarmismo?
El desarrollador de Ubuntu involucrado se ha equivocado en ciertos hechos y ha dañado su propio caso, pero todavía hay un argumento real aquí. Ubuntu y Linux Mint lidiar con las actualizaciones de diferentes maneras, y cada una tiene sus propias compensaciones.
Las acusaciones de un desarrollador de Ubuntu
Oliver Grawert, un desarrollador de Ubuntu empleado por Canonical, inició la guerra verbal con este mensaje en la lista de correo de desarrolladores de Ubuntu. En él, afirmó que las actualizaciones de seguridad "se piratean explícitamente de Linux Mint para Xorg, el kernel, Firefox, el gestor de arranque y varios otros paquetes".
Proporcionó un enlace a el archivo de reglas de Mint Update , indicando que "es una lista de paquetes que [Mint] nunca actualizará". Esto es incorrecto: el archivo hace algo más complicado que eso, pero lo analizaremos más adelante. Continuó: "Yo diría que mantener un navegador de núcleo vulnerable o xorg en su lugar en lugar de permitir que las actualizaciones de seguridad proporcionadas sean el instalador [sic] lo convierte en un sistema vulnerable ... Yo personalmente no haría operaciones bancarias en línea con él".
Algunas de estas acusaciones son completamente falsas. Es cierto que Linux Mint bloquea las actualizaciones para paquetes como el servidor gráfico X.org, el kernel de Linux y el gestor de arranque de forma predeterminada. Sin embargo, estas actualizaciones no están "pirateadas de Linux Mint", como mostraremos más adelante. Linux Mint tampoco bloquea las actualizaciones de Firefox. Las actualizaciones del navegador web Firefox son importantes para la seguridad del mundo real y están permitidas de forma predeterminada, por lo que las acusaciones de este desarrollador de Ubuntu están fuera de lugar. Sin embargo, todavía hay un argumento real aquí: Linux Mint bloquea ciertos tipos de actualizaciones de seguridad de forma predeterminada.
Respuesta de Linux Mint
El fundador y desarrollador principal de Linux Mint, Clement Lefebvre, respondió a estas acusaciones con una publicación de blog . En él, señala que el desarrollador de Ubuntu se equivocó sobre las acusaciones que explicamos anteriormente. También aclara el motivo de Linux Mint para excluir actualizaciones para ciertos paquetes de forma predeterminada:
“En 2007 explicamos cuáles eran las deficiencias en la forma en que Ubuntu recomienda a sus usuarios que apliquen ciegamente todas las actualizaciones disponibles. Explicamos los problemas asociados con las regresiones e implementamos una solución con la que estamos muy contentos ".
Firefox se actualiza automáticamente con Linux Mint, al igual que con Ubuntu. De hecho, ambas distribuciones usan el mismo paquete que proviene del mismo repositorio.
El argumento principal de Linux Mint es que la actualización "a ciegas" de paquetes como el servidor gráfico X.org, el gestor de arranque y el kernel de Linux puede causar problemas. Las actualizaciones de estos paquetes de bajo nivel pueden introducir errores en algunos tipos de hardware, mientras que los problemas de seguridad que resuelven no son en realidad un problema para las personas que usan Linux Mint casualmente en casa. Por ejemplo, muchas fallas de seguridad en el kernel de Linux son vulnerabilidades de “escalada de privilegios locales”. Pueden permitir que los usuarios con acceso limitado a la computadora se conviertan en usuarios raíz y obtengan acceso completo, pero no se pueden explotar fácilmente desde un navegador web como un típico problema de seguridad en Java podría.
¿Es esto realmente un problema?
Ambas partes tienen buenos argumentos. Por un lado, es absolutamente cierto que Linux Mint está deshabilitando las actualizaciones de seguridad para ciertos paquetes de forma predeterminada. Esto deja un sistema Mint con vulnerabilidades de seguridad más conocidas, que teóricamente podrían explotarse.
Por otro lado, es cierto que estas vulnerabilidades de seguridad no se explotan activamente. Linux Mint actualiza el software que está bajo ataque real, como los navegadores web. También es cierto que las actualizaciones de X.org han causado problemas en el pasado. En 2006, una actualización de Ubuntu rompió el servidor X de muchos usuarios de Ubuntu que lo instalaron, obligándolos a ingresar a la terminal de Linux. Los usuarios afectados tuvieron que reparar sus sistemas desde el terminal. La política de Linux Mint sobre actualizaciones se especificó solo un año después, en 2007, por lo que es probable que este episodio haya afectado la postura actual de Linux Mint.
Si es un usuario de escritorio doméstico, probablemente no se verá comprometido debido a una falla en el kernel de Linux. Por supuesto, si ejecuta un servidor que está expuesto a Internet u opera una estación de trabajo comercial a la que desea restringir el acceso, debe asegurarse de que estén instaladas todas las actualizaciones de seguridad posibles.
Controlar las actualizaciones de seguridad en Linux Mint
Cualquier usuario de Linux Mint que prefiera tener todas las actualizaciones de seguridad que obtienen los usuarios de Ubuntu puede habilitarlas desde el Administrador de actualizaciones de Mint. Estas actualizaciones no están "pirateadas", sino que están inhabilitadas de forma predeterminada.
Para controlar esta configuración, abra la aplicación Update Manager desde el menú de su entorno de escritorio. Haga clic en el menú Editar y seleccione Preferencias. A continuación, podrá elegir los "niveles" de paquetes que desea instalar. Los "niveles" se definen en el archivo de reglas de actualización de Mint que mencionamos anteriormente. Los niveles 1-3 están habilitados de forma predeterminada, mientras que los niveles 4-5 están deshabilitados de forma predeterminada. Firefox es un paquete de nivel 2, que se actualiza de forma predeterminada. X.org y el kernel de Linux son niveles 4 y 5, respectivamente, por lo que no se actualizan de forma predeterminada.
Habilite los niveles 4 y 5 y obtendrá las mismas actualizaciones que obtendría en Ubuntu, provenientes de los propios repositorios de actualizaciones de Ubuntu, pero correrá un mayor riesgo de "regresiones" que presenten problemas.
El verdadero desacuerdo aquí es filosófico. Ubuntu se equivoca al actualizar todo de forma predeterminada, eliminando todas las posibles vulnerabilidades de seguridad, incluso aquellas que es poco probable que se exploten en los sistemas de los usuarios domésticos. Linux Mint se equivoca al excluir las actualizaciones que podrían causar problemas.
La solución que prefiera dependerá de para qué está usando su computadora y qué tan cómodo se siente con los riesgos.
