Linux Mint tidak aman, menurut pengembang Ubuntu yang menggunakan Canonical yang mengatakan bahwa dia tidak akan melakukan perbankan online pada PC Linux Mint. Pengembang menuduh bahwa Linux Mint “meretas” pembaruan penting. Apakah ini masalah nyata atau hanya rasa takut?
Pengembang Ubuntu yang terlibat telah mendapatkan fakta tertentu yang salah dan merusak kasusnya sendiri, tetapi masih ada argumen nyata yang bisa didapat di sini. Ubuntu dan Linux Mint menangani pembaruan dengan cara berbeda, dan masing-masing memiliki kompromi sendiri.
Tuduhan Pengembang Ubuntu
Oliver Grawert, pengembang Ubuntu yang menggunakan Canonical, memulai peperangan verbal dengan pesan ini di milis pengembang Ubuntu. Di dalamnya, ia menyatakan bahwa pembaruan keamanan “secara eksplisit diretas dari Linux Mint untuk Xorg, kernel, Firefox, bootloader dan berbagai paket lainnya”.
Dia memberikan tautan ke file aturan Mint Update , menyatakan bahwa itu "adalah daftar paket [Mint] tidak akan pernah diperbarui." Ini tidak benar - file melakukan sesuatu yang lebih rumit dari itu, tetapi kita akan membahasnya nanti. Dia melanjutkan: “Saya akan mengatakan dengan paksa tetap menggunakan browser kernel atau xorg yang rentan daripada membiarkan pembaruan keamanan yang disediakan menjadi installer [sic] menjadikannya sistem yang rentan… Saya pribadi tidak akan melakukan perbankan online dengannya;)”.
Beberapa dari tuduhan ini sama sekali tidak benar. Memang benar bahwa Linux Mint memblokir pembaruan untuk paket seperti server grafis X.org, kernel Linux, dan bootloader secara default. Namun, pembaruan ini tidak “diretas dari Linux Mint”, seperti yang akan kami tunjukkan nanti. Linux Mint juga tidak memblokir pembaruan Firefox. Pembaruan pada browser web Firefox penting untuk keamanan dunia nyata dan diizinkan secara default, jadi dugaan pengembang Ubuntu ini tidak tepat. Namun, masih ada argumen nyata di sini - Linux Mint memblokir jenis pembaruan keamanan tertentu secara default.
Tanggapan Linux Mint
Pendiri Linux Mint dan pengembang utama Clement Lefebvre menanggapi tuduhan ini dengan posting blog . Di dalamnya, dia menunjukkan bahwa pengembang Ubuntu salah tentang tuduhan yang kami jelaskan di atas. Dia juga menjelaskan alasan Linux Mint mengecualikan pembaruan untuk paket tertentu secara default:
“Kami menjelaskan pada tahun 2007 apa kekurangannya dengan cara Ubuntu merekomendasikan penggunanya untuk menerapkan semua pembaruan yang tersedia secara membabi buta. Kami menjelaskan masalah yang terkait dengan regresi dan kami menerapkan solusi yang sangat kami sukai. "
Firefox diperbarui secara otomatis oleh Linux Mint, seperti halnya oleh Ubuntu. Faktanya, kedua distribusi tersebut menggunakan paket yang sama yang berasal dari repositori yang sama.
Argumen utama Linux Mint adalah bahwa paket pembaruan "secara membabi buta" seperti server grafis X.org, bootloader, dan kernel Linux dapat menyebabkan masalah. Pembaruan untuk paket tingkat rendah ini dapat menimbulkan bug pada beberapa jenis perangkat keras, sementara masalah keamanan yang mereka selesaikan sebenarnya bukan masalah bagi orang yang menggunakan Linux Mint dengan santai di rumah. Misalnya, banyak kelemahan keamanan di kernel Linux yang merupakan kerentanan "eskalasi hak istimewa lokal". Mereka mungkin mengizinkan pengguna dengan akses terbatas ke komputer untuk menjadi pengguna root dan mendapatkan akses penuh, tetapi mereka tidak dapat dengan mudah dieksploitasi dari browser web seperti biasanya. masalah keamanan di Jawa bisa.
Apakah Ini Sebenarnya Masalah?
Kedua belah pihak memiliki argumen yang bagus. Di satu sisi, memang benar bahwa Linux Mint menonaktifkan pembaruan keamanan untuk paket tertentu secara default. Ini meninggalkan sistem Mint dengan kerentanan keamanan yang lebih dikenal, yang secara teoritis dapat dieksploitasi.
Di sisi lain, kerentanan keamanan ini tidak dieksploitasi secara aktif. Linux Mint memperbarui perangkat lunak yang sedang diserang, seperti browser web. Juga benar bahwa pembaruan ke X.org telah menyebabkan masalah di masa lalu. Pada tahun 2006, pembaruan Ubuntu merusak server X dari banyak pengguna Ubuntu yang menginstalnya, memaksa mereka masuk ke terminal Linux. Pengguna yang terpengaruh harus memperbaiki sistem mereka dari terminal. Kebijakan Linux Mint tentang pembaruan dijabarkan hanya setahun kemudian pada tahun 2007, jadi kemungkinan episode ini memengaruhi sikap Linux Mint saat ini.
Jika Anda pengguna desktop rumahan, Anda mungkin tidak akan disusupi karena cacat pada kernel Linux. Tentu saja, jika Anda menjalankan server yang terpapar ke Internet atau mengoperasikan workstation bisnis yang ingin Anda batasi aksesnya, Anda harus memastikan semua pembaruan keamanan yang mungkin diinstal.
Mengontrol Pembaruan Keamanan di Linux Mint
Semua pengguna Linux Mint yang lebih suka memiliki semua pembaruan keamanan yang didapat pengguna Ubuntu dapat mengaktifkannya dari dalam Manajer Pembaruan Mint. Pembaruan ini tidak "diretas", tetapi hanya dinonaktifkan secara default.
Untuk mengontrol setelan ini, buka aplikasi Update Manager dari menu lingkungan desktop Anda. Klik menu Edit dan pilih Preferensi. Anda kemudian akan dapat memilih "level" dari paket yang ingin Anda instal. “Levels” ditentukan dalam file aturan pembaruan Mint yang kami sebutkan sebelumnya. Level 1-3 diaktifkan secara default, sedangkan level 4-5 dinonaktifkan secara default. Firefox adalah paket level 2, yang diperbarui secara default. X.org dan kernel Linux masing-masing adalah level 4 dan 5, jadi keduanya tidak diperbarui secara default.
Aktifkan level 4 dan 5 dan Anda akan mendapatkan pembaruan yang sama seperti di Ubuntu - yang berasal dari repositori pembaruan Ubuntu sendiri - tetapi Anda akan lebih berisiko mengalami “regresi” yang menimbulkan masalah.
Ketidaksepakatan yang sebenarnya di sini bersifat filosofis. Ubuntu keliru dalam memperbarui semuanya secara default, menghilangkan semua kemungkinan kerentanan keamanan - bahkan yang tidak mungkin dieksploitasi pada sistem pengguna rumahan. Linux Mint keliru mengecualikan pembaruan yang berpotensi menyebabkan masalah.
Solusi mana yang Anda pilih akan tergantung pada tujuan penggunaan komputer Anda dan seberapa nyaman Anda dengan risikonya.
