Linux Mint är osäker, enligt en Canon-anställd Ubuntu-utvecklare som säger att han inte skulle göra sin internetbank på en Linux Mint-dator. Utvecklaren hävdar att Linux Mint "hackar ut" viktiga uppdateringar. Är detta ett verkligt problem eller bara rädsla?
Den involverade Ubuntu-utvecklaren har gjort vissa felaktiga fel och skadat sitt eget fall, men det finns fortfarande ett verkligt argument här. Ubuntu och Linux Mint hantera uppdateringar på olika sätt, och var och en har sina egna avvägningar.
En påståelse om Ubuntu-utvecklare
Oliver Grawert, en Canon-anställd Ubuntu-utvecklare, inledde den verbala krigföringen med det här meddelandet på Ubuntu-utvecklarens e-postlista. I det uppgav han att säkerhetsuppdateringar "hackas uttryckligen från Linux Mint för Xorg, kärnan, Firefox, bootloader och olika andra paket".
Han gav en länk till Mint Update-reglerfilen , som säger att det "är en lista över paket som [Mint] aldrig kommer att uppdateras." Det här är felaktigt - filen gör något mer komplicerat än så, men vi kommer att gå in på det senare. Han fortsatte: "Jag skulle kraftigt säga att hålla en sårbar kärnwebbläsare eller xorg på plats istället för att låta de tillhandahållna säkerhetsuppdateringarna vara installerare [sic] gör det till ett sårbart system ... Jag personligen skulle inte göra internetbank med det;)".
Några av dessa anklagelser är helt osanna. Det är sant att Linux Mint blockerar uppdateringar för paket som X.org grafisk server, Linux-kärna och bootloader som standard. Dessa uppdateringar "hackas inte ut ur Linux Mint", som vi kommer att visa senare. Linux Mint blockerar inte heller uppdateringar till Firefox. Uppdateringar av Firefox-webbläsaren är viktiga för den verkliga säkerheten och är tillåtna som standard, så den här Ubuntu-utvecklarens anklagelser är inte riktiga. Det finns dock fortfarande ett verkligt argument här - Linux Mint blockerar vissa typer av säkerhetsuppdateringar som standard.
Linux Mint's svar
Linux Mint grundare och ledande utvecklare Clement Lefebvre svarade på dessa anklagelser med ett blogginlägg . I det påpekar han att Ubuntu-utvecklaren var felaktig om de anklagelser som vi förklarade ovan. Han klargör också Linux Mint's anledning att som standard utesluta uppdateringar för vissa paket:
”Vi förklarade 2007 vad bristerna var med hur Ubuntu rekommenderar sina användare att blindt tillämpa alla tillgängliga uppdateringar. Vi förklarade problemen i samband med regressioner och implementerade en lösning som vi är mycket nöjda med. ”
Firefox uppdateras automatiskt av Linux Mint, precis som av Ubuntu. Faktum är att båda distributionerna använder samma paket som kommer från samma arkiv.
Linux Mints primära argument är att "blindt" uppdatera paket som X.org grafisk server, bootloader och Linux-kärna kan orsaka problem. Uppdateringar av dessa lågnivåpaket kan introducera buggar på vissa typer av hårdvara, medan säkerhetsproblemen de löser faktiskt inte är ett problem för människor som använder Linux Mint tillfälligt hemma. Till exempel är många säkerhetsfel i Linux-kärnan sårbarheter med lokal lokalisering. De kan tillåta användare med begränsad åtkomst till datorn att bli rotanvändare och få fullständig åtkomst, men de kan inte enkelt utnyttjas från en webbläsare som en vanlig security problem in Java skulle kunna.
Är detta faktiskt ett problem?
Båda sidor har bra argument. Å ena sidan är det helt sant att Linux Mint inaktiverar säkerhetsuppdateringar för vissa paket som standard. Detta lämnar ett Mint-system med mer kända säkerhetsproblem, som teoretiskt skulle kunna utnyttjas.
Å andra sidan är det sant att dessa säkerhetsproblem inte utnyttjas aktivt. Linux Mint uppdaterar programvara som är under verklig attack, som webbläsare. Det är också sant att uppdateringar av X.org har orsakat problem tidigare. År 2006 bröt en Ubuntu-uppdatering X-servern för många Ubuntu-användare som installerade den och tvingade dem in i Linux-terminalen. Berörda användare var tvungna att reparera sina system från terminalen. Linux Mints policy för uppdateringar stavades ut bara ett år senare 2007, så det är troligt att detta avsnitt påverkade Linux Mints nuvarande hållning.
Om du är en hemdatoranvändare kommer du antagligen inte att äventyras på grund av en brist i Linux-kärnan. Naturligtvis, om du kör en server som är exponerad för Internet eller driver en affärsarbetsstation som du vill begränsa åtkomsten till, bör du se till att alla möjliga säkerhetsuppdateringar är installerade.
Kontrollera säkerhetsuppdateringar i Linux Mint
Alla Linux Mint-användare som hellre vill ha alla säkerhetsuppdateringar som Ubuntu-användare får kan aktivera dem från Mint's Update Manager. Dessa uppdateringar "hackas inte ut" utan är bara inaktiverade som standard.
För att kontrollera denna inställning öppnar du Update Manager-applikationen från skrivbordsmiljöens meny. Klicka på Redigera-menyn och välj Inställningar. Du kommer då att kunna välja de "nivåer" av paket du vill installera. "Nivåer" definieras i Mint-uppdateringsregelfilen som vi nämnde tidigare. Nivåerna 1-3 är aktiverade som standard, medan nivåerna 4-5 är inaktiverade som standard. Firefox är ett nivå 2-paket som uppdateras som standard. X.org och Linux-kärnan är nivå 4 respektive 5, så de uppdateras inte som standard.
Aktivera nivå 4 och 5 så får du samma uppdateringar som i Ubuntu - kommer från Ubuntus egna uppdateringsförvar - men du riskerar mer "regressioner" som medför problem.
Den verkliga oenigheten här är filosofisk. Ubuntu tar fel på sidan av att uppdatera allt som standard, vilket eliminerar alla möjliga säkerhetsproblem - även sådana som sannolikt inte kommer att utnyttjas i hemanvändarsystem. Linux Mint är fel på sidan av att utesluta uppdateringar som potentiellt kan orsaka problem.
Vilken lösning du föredrar kommer att bero på vad du använder din dator för och hur bekväm du är med riskerna.
