Linux Mint è insicuro, secondo uno sviluppatore Ubuntu impiegato da Canonical che afferma che non farebbe il suo banking online su un PC Linux Mint. Lo sviluppatore sostiene che Linux Mint "hackera" aggiornamenti importanti. È un vero problema o solo paura?
Lo sviluppatore Ubuntu coinvolto ha sbagliato alcuni fatti e ha danneggiato il suo stesso caso, ma c'è ancora un vero argomento da sostenere qui. Ubuntu e Linux Mint gestire gli aggiornamenti in modi diversi e ognuno ha i propri compromessi.
Le accuse di uno sviluppatore di Ubuntu
Oliver Grawert, uno sviluppatore Ubuntu impiegato da Canonical, ha iniziato la guerra verbale con questo messaggio nella mailing list degli sviluppatori di Ubuntu. In esso, ha affermato che gli aggiornamenti di sicurezza "sono esplicitamente violati da Linux Mint per Xorg, il kernel, Firefox, il bootloader e vari altri pacchetti".
Ha fornito un collegamento a il file delle regole di Mint Update , affermando che "è un elenco di pacchetti che [Mint] non si aggiornerà mai". Questo non è corretto: il file fa qualcosa di più complicato, ma ne parleremo più avanti. Ha continuato: "Direi che mantenere con la forza un browser kernel vulnerabile o xorg in posizione invece di consentire agli aggiornamenti di sicurezza forniti di essere installatore [sic] lo rende un sistema vulnerabile ... Io personalmente non farei operazioni bancarie online con esso;)".
Alcune di queste accuse sono completamente false. È vero che Linux Mint blocca gli aggiornamenti per pacchetti come il server grafico X.org, il kernel Linux e il bootloader per impostazione predefinita. Tuttavia, questi aggiornamenti non sono "hackerati da Linux Mint", come mostreremo in seguito. Linux Mint inoltre non blocca gli aggiornamenti a Firefox. Gli aggiornamenti al browser Web Firefox sono importanti per la sicurezza del mondo reale e sono consentiti per impostazione predefinita, quindi le accuse di questo sviluppatore di Ubuntu sono fuori luogo. Tuttavia, c'è ancora un vero argomento qui: Linux Mint blocca alcuni tipi di aggiornamenti di sicurezza per impostazione predefinita.
Risposta di Linux Mint
Il fondatore e sviluppatore principale di Linux Mint Clement Lefebvre ha risposto a queste accuse con un post sul blog . In esso, sottolinea che lo sviluppatore di Ubuntu non era corretto riguardo alle accuse che abbiamo spiegato sopra. Chiarisce anche il motivo per cui Linux Mint esclude gli aggiornamenti per alcuni pacchetti per impostazione predefinita:
“Nel 2007 abbiamo spiegato quali fossero i difetti del modo in cui Ubuntu consiglia ai propri utenti di applicare ciecamente tutti gli aggiornamenti disponibili. Abbiamo spiegato i problemi associati alle regressioni e abbiamo implementato una soluzione di cui siamo molto soddisfatti. "
Firefox viene aggiornato automaticamente da Linux Mint, proprio come da Ubuntu. In effetti, entrambe le distribuzioni utilizzano lo stesso pacchetto che proviene dallo stesso repository.
L'argomento principale di Linux Mint è che l'aggiornamento "cieco" di pacchetti come il server grafico X.org, il bootloader e il kernel Linux può causare problemi. Gli aggiornamenti a questi pacchetti di basso livello possono introdurre bug su alcuni tipi di hardware, mentre i problemi di sicurezza che risolvono non sono in realtà un problema per le persone che usano Linux Mint casualmente a casa. Ad esempio, molte falle di sicurezza nel kernel Linux sono vulnerabilità di "escalation dei privilegi locali". Potrebbero consentire agli utenti con accesso limitato al computer di diventare utenti root e ottenere l'accesso completo, ma non possono essere facilmente sfruttati da un browser web come un tipico problema di sicurezza in Java poteva.
Questo è davvero un problema?
Entrambe le parti hanno buoni argomenti. Da un lato, è assolutamente vero che Linux Mint disabilita gli aggiornamenti di sicurezza per alcuni pacchetti per impostazione predefinita. Ciò lascia un sistema Mint con vulnerabilità di sicurezza più note, che potrebbero teoricamente essere sfruttate.
D'altra parte, è vero che queste vulnerabilità di sicurezza non vengono sfruttate attivamente. Linux Mint aggiorna il software che è sotto attacco reale, come i browser web. È anche vero che gli aggiornamenti a X.org hanno causato problemi in passato. Nel 2006, un aggiornamento di Ubuntu ha rotto il server X di molti utenti di Ubuntu che lo hanno installato, costringendoli a entrare nel terminale Linux. Gli utenti interessati dovevano riparare i loro sistemi dal terminale. La politica di Linux Mint sugli aggiornamenti è stata definita solo un anno dopo, nel 2007, quindi è probabile che questo episodio abbia influenzato l'attuale posizione di Linux Mint.
Se sei un utente desktop domestico, probabilmente non verrai compromesso a causa di un difetto nel kernel Linux. Ovviamente, se esegui un server esposto a Internet o gestisci una workstation aziendale a cui desideri limitare l'accesso, dovresti assicurarti che tutti gli aggiornamenti di sicurezza possibili siano installati.
Controllo degli aggiornamenti di sicurezza in Linux Mint
Qualsiasi utente di Linux Mint che preferisce disporre di tutti gli aggiornamenti di sicurezza che gli utenti di Ubuntu ottengono può abilitarli dal gestore degli aggiornamenti di Mint. Questi aggiornamenti non sono "hackerati", ma sono solo disabilitati per impostazione predefinita.
Per controllare questa impostazione, apri l'applicazione Update Manager dal menu del tuo ambiente desktop. Fare clic sul menu Modifica e selezionare Preferenze. Sarai quindi in grado di scegliere i "livelli" dei pacchetti che desideri installare. I "livelli" sono definiti nel file delle regole di aggiornamento di Mint menzionato in precedenza. I livelli 1-3 sono abilitati per impostazione predefinita, mentre i livelli 4-5 sono disabilitati per impostazione predefinita. Firefox è un pacchetto di livello 2, aggiornato per impostazione predefinita. X.org e il kernel Linux sono rispettivamente di livello 4 e 5, quindi non vengono aggiornati per impostazione predefinita.
Abilita i livelli 4 e 5 e otterrai gli stessi aggiornamenti che avresti in Ubuntu - provenienti dai repository di aggiornamento di Ubuntu - ma sarai maggiormente a rischio di "regressioni" che introducono problemi.
Il vero disaccordo qui è filosofico. Ubuntu sbaglia sul lato dell'aggiornamento di tutto per impostazione predefinita, eliminando tutte le possibili vulnerabilità di sicurezza, anche quelle che è improbabile che vengano sfruttate sui sistemi degli utenti domestici. Linux Mint sbaglia dalla parte di escludere gli aggiornamenti che potrebbero potenzialmente causare problemi.
La soluzione che preferisci dipenderà da cosa stai utilizzando il tuo computer e da quanto sei a tuo agio con i rischi.
