Linux Mint on epävarma, Canonicalin palveluksessa olevan Ubuntun kehittäjän mukaan, jonka mukaan hän ei tekisi verkkopankkiaan Linux Mint PC: llä. Kehittäjä väittää, että Linux Mint "hakkasi" tärkeitä päivityksiä. Onko tämä todellinen ongelma vai vain pelon levittäminen?
Mukana oleva Ubuntun kehittäjä on saanut väärät tosiasiat ja vahingoittanut omaa tapaustaan, mutta täällä on vielä todellinen argumentti. Ubuntu ja Linux Mint käsitellä päivityksiä eri tavoin, ja jokaisella on omat kompromissinsa.
Ubuntun kehittäjän väitteet
Oliver Grawert, Canonicalin palveluksessa oleva Ubuntun kehittäjä, aloitti sanallisen sodankäynnin Tämä viesti Ubuntun kehittäjien postituslistalla. Siinä hän totesi, että tietoturvapäivitykset "on hakkeroitu nimenomaisesti Linux Mint for Xorgille, ytimelle, Firefoxille, käynnistyslataimelle ja monille muille paketeille".
Hän toimitti linkin Mint Update -sääntötiedosto , että "se on luettelo paketeista, joita [Mint] ei koskaan päivitetä". Tämä on väärin - tiedosto tekee jotain monimutkaisempaa kuin se, mutta käsittelemme sitä myöhemmin. Hän jatkoi: "Sanoisin, että pidetään haavoittuvainen ytimen selain tai xorg paikallaan sen sijaan, että sallittaisiin toimitettujen tietoturvapäivitysten asentamisen asentajaksi [sic], se tekee haavoittuvasta järjestelmästä.
Jotkut näistä väitteistä ovat täysin epätodellisia. On totta, että Linux Mint estää oletuksena pakettien, kuten X.org-graafisen palvelimen, Linux-ytimen ja käynnistyslataimen, päivitykset. Näitä päivityksiä ei kuitenkaan "hakkeroitu Linux Mintista", kuten näytämme myöhemmin. Linux Mint ei myöskään estä Firefoxin päivityksiä. Firefox-verkkoselaimen päivitykset ovat tärkeitä todellisen turvallisuuden kannalta ja ovat oletusarvoisesti sallittuja, joten tämän Ubuntun kehittäjän väitteet ovat epätarkkoja. Tässä on kuitenkin edelleen todellinen argumentti - Linux Mint estää oletusarvoisesti tietyntyyppisiä tietoturvapäivityksiä.
Linux Mintin vastaus
Linux Mintin perustaja ja pääkehittäjä Clement Lefebvre vastasi näihin syytöksiin blogikirjoitus . Siinä hän huomauttaa, että Ubuntun kehittäjä oli virheellinen edellä selitetyissä väitteissä. Hän selventää myös Linux Mintin syytä sulkea päivitykset tietyille paketeille oletuksena:
"Selitimme vuonna 2007, mitä puutteita oli siinä, miten Ubuntu suosittelee käyttäjiään sokeasti käyttämään kaikkia saatavilla olevia päivityksiä. Selitimme regressioihin liittyvät ongelmat ja otimme käyttöön ratkaisun, johon olemme erittäin tyytyväisiä. "
Linux Mint päivittää Firefoxin automaattisesti, samoin kuin Ubuntu. Itse asiassa molemmat jakelut käyttävät samaa pakettia, joka tulee samasta arkistosta.
Linux Mintin ensisijainen argumentti on, että X.org-graafisen palvelimen, käynnistyslataimen ja Linux-ytimen kaltaisten pakettien "sokea" päivittäminen voi aiheuttaa ongelmia. Näiden matalan tason pakettien päivitykset voivat tuoda vikoja tietyntyyppisiin laitteistoihin, kun taas niiden ratkaisemat turvallisuusongelmat eivät todellakaan ole ongelma ihmisille, jotka käyttävät Linux Mintia rennosti kotona. Esimerkiksi monet Linux-ytimen tietoturva-aukot ovat "paikallisten etuoikeuksien eskalaation" haavoittuvuuksia. Ne saattavat antaa käyttäjille, joilla on rajoitettu pääsy tietokoneeseen, tulla pääkäyttäjiksi ja saada täydellinen käyttöoikeus, mutta niitä ei voida helposti hyödyntää verkkoselaimella tavallisen tapaan Java-turvallisuusongelma voisi.
Onko tämä todella ongelma?
Molemmilla osapuolilla on hyvät perustelut. Yhtäältä on aivan totta, että Linux Mint poistaa oletusarvoisesti tietyt paketit tietoturvapäivityksistä. Tämä jättää Mint-järjestelmään tunnetuimpia tietoturva-aukkoja, joita voidaan teoriassa hyödyntää.
Toisaalta on totta, että näitä tietoturva-aukkoja ei hyödynnetä aktiivisesti. Linux Mint päivittää ohjelmiston, joka on todellisen hyökkäyksen kohteena, kuten verkkoselaimet. On totta myös, että X.org-päivitykset ovat aiheuttaneet ongelmia aiemmin. Vuonna 2006 Ubuntun päivitys rikkoi monien sen asentaneiden Ubuntun käyttäjien X-palvelimen pakottaen heidät Linux-päätelaitteeseen. Kyseisten käyttäjien oli korjattava järjestelmät terminaalista. Linux Mintin päivityspolitiikka määriteltiin vain vuotta myöhemmin vuonna 2007, joten todennäköisesti tämä episodi vaikutti Linux Mintin nykyiseen asemaan.
Jos olet työpöydän käyttäjä, et todennäköisesti vaarannu Linux-ytimen puutteen vuoksi. Tietenkin, jos käytät palvelinta, joka on alttiina Internetille, tai käytät yritystyöasemaa, jonka käyttöä haluat rajoittaa, sinun on varmistettava, että kaikki mahdolliset tietoturvapäivitykset on asennettu.
Tietoturvapäivitysten hallinta Linux Mintissa
Jokainen Linux Mint -käyttäjä, jolla on mieluummin kaikki Ubuntu-käyttäjien saamat tietoturvapäivitykset, voi ottaa heidät käyttöön Mintin päivityshallinnassa. Näitä päivityksiä ei ole hakkeroitu, mutta ne ovat oletusarvoisesti pois käytöstä.
Voit hallita tätä asetusta avaamalla Update Manager -sovelluksen työpöytäympäristön valikosta. Napsauta Muokkaa-valikkoa ja valitse Asetukset. Sen jälkeen voit valita asennettavien pakettien "tasot". "Tasot" määritellään rahapajan päivityskäytäntötiedostossa, jonka mainitsimme aiemmin. Tasot 1-3 ovat oletusarvoisesti käytössä, kun taas tasot 4-5 ovat oletusarvoisesti poissa käytöstä. Firefox on tason 2 paketti, joka päivitetään oletuksena. X.org ja Linux-ydin ovat vastaavasti tasoja 4 ja 5, joten niitä ei päivitetä oletusarvoisesti.
Ota tasot 4 ja 5 käyttöön ja saat samat päivitykset kuin Ubuntussa - jotka tulevat Ubuntun omista päivitystietovarastoista - mutta sinulla on enemmän riskiä regressioille, jotka aiheuttavat ongelmia.
Todellinen erimielisyys on tässä filosofinen. Ubuntu erehtyy päivittämällä kaikki oletusarvoisesti poistamalla kaikki mahdolliset tietoturva-aukkoja - jopa sellaisia, joita ei todennäköisesti hyödynnetä kotikäyttäjien järjestelmissä. Linux Mint erehtyy poissulkemalla päivityksiä, jotka saattavat aiheuttaa ongelmia.
Minkä ratkaisun haluat, tulee selville, mihin käytät tietokonettasi ja kuinka mukava olet riskeille.
