Ubuntu fejlesztők Mondja, hogy a Linux Mint nem biztonságos. Rendben vannak?
A Linux pénzverde bizonytalan, egy olyan Canonical-ban dolgozó Ubuntu fejlesztő szerint, aki azt mondja, hogy nem fog az online banki tevékenységét egy Linux Mint PC-n. A fejlesztő azt állítja, hogy a Linux Mint a „frissít” fontos frissítéseket. Ez valódi probléma vagy csak félelem?
Az érintett Ubuntu fejlesztő tévedt és tönkrement a saját esetét, de még mindig van egy igazi érvünk. Az Ubuntu és a Linux Mint különböző módon kezelik a frissítéseket, és mindegyiknek saját kompromisszuma van.
Ubuntu fejlesztői állítások
Oliver Grawert, a Canonical által foglalkoztatott Ubuntu fejlesztő, ezt az üzenetet indította el az Ubuntu fejlesztői levelezőlistán. Ebben kijelentette, hogy a biztonsági frissítések „kifejezetten elrejtve vannak a Linux Mint Xorg, a kernel, a Firefox, a bootloader és a különféle egyéb csomagok számára”.
Hivatkozást tett a pénzverde-frissítési szabályfájlhoz, amelyben megállapította, hogy „a csomagok listája [A pénzverde] soha nem fog frissülni.” Ez helytelen - a fájl valami bonyolultabb, mint amilyen, de később megyünk bele. Folytatta: „azt mondanám, hogy a sérülékeny kernelböngészőt vagy xorgot helyben tartja ahelyett, hogy lehetővé tenné, hogy a biztosított biztonsági frissítések telepítők legyenek [sic], ez sebezhetővé teszi a rendszert… személyesen nem csinálnám online banki szolgáltatásokat;)”.
Ezen állítások némelyike teljesen igaz. Igaz, hogy a Linux Mint blokkolja a frissítéseket az olyan csomagokhoz, mint az X.org grafikus kiszolgáló, a Linux kernel és a bootloader alapértelmezés szerint. Ezeket a frissítéseket azonban nem „hackelték ki a Linux Mintából”, ahogy azt később mutatjuk be. A Linux Mint nem blokkolja a Firefox frissítéseit. A Firefox webböngésző frissítése fontos a valós biztonság érdekében, és alapértelmezés szerint megengedett, így ez az Ubuntu fejlesztői állítások nem megfelelőek. Azonban még mindig van egy igazi érv - a Linux Mint alapértelmezés szerint blokkolja bizonyos típusú biztonsági frissítéseket.
Linux pénzverde válasza
A Linux Mint alapítója és vezető fejlesztője, Clement Lefebvre egy blogbejegyzéssel válaszolt ezekre a vádakra. Ebben rámutat, hogy az Ubuntu fejlesztő hibás volt a fentiekben ismertetett állításokkal kapcsolatban. Azt is tisztázza a Linux Mint oka, hogy alapértelmezés szerint kizárja az egyes csomagok frissítéseit:
„2007-ben kifejtettük, hogy milyen hiányosságok merültek fel azzal kapcsolatban, hogy az Ubuntu javasolja a felhasználóknak, hogy vakon alkalmazzák az összes elérhető frissítést. Elmagyaráztuk a regressziókkal kapcsolatos problémákat, és olyan megoldást hajtottunk végre, amellyel nagyon örülünk. ”
A Firefoxot automatikusan frissíti a Linux Mint, ahogy az Ubuntu is. Valójában mindkét terjesztés ugyanazt a csomagot használja, amely ugyanabból a tárolóból származik.
A Linux Mint elsődleges érvelése az, hogy a „vakon” frissítő csomagok, mint az X.org grafikus kiszolgáló, a bootloader és a Linux kernel problémákat okozhatnak. Ezeknek az alacsony szintű csomagoknak a frissítései hibákat okozhatnak bizonyos típusú hardvereknél, míg az általuk megoldott biztonsági problémák nem jelentenek problémát azoknak az embereknek, akik a Linux Mint alkalmanként használják otthon. Például a Linux rendszermag számos biztonsági hibája a „helyi kiváltságok fokozódása” sebezhetőség. Lehet, hogy a korlátozott hozzáféréssel rendelkező felhasználók számára lehetővé válik a root felhasználóvá válás és a teljes hozzáférés megszerzése, de nem lehet könnyen kiaknázni egy olyan webböngészőből, mint egy tipikus Java biztonsági probléma..
Ez valójában egy probléma?
Mindkét félnek jó érve van. Egyrészt teljesen igaz, hogy a Linux Mint alapértelmezés szerint letiltja bizonyos csomagok biztonsági frissítéseit. Ez egy pénzverde-rendszert hagy még ismertebb biztonsági réseket, amelyek elméletileg kihasználhatók.
Másrészt igaz, hogy ezeket a biztonsági réseket nem használják ki aktívan. A Linux Mint nem frissíti a tényleges támadás alatt álló szoftvert, például a böngészőket. Az is igaz, hogy az X.org frissítése a múltban problémákat okozott. 2006-ban egy Ubuntu-frissítés megtörte számos Ubuntu felhasználóját, akik telepítették, és kényszerítették őket a Linux terminálra. Az érintett felhasználóknak rendszereiket a terminálról kellett javítaniuk. A Linux Mint frissítési politikáját csak egy évvel később határozták meg 2007-ben, így valószínűleg ez az epizód érintette a Linux Mint jelenlegi pozícióját.
Ha otthoni asztali felhasználó vagy, valószínűleg nem lesz veszélyeztetve a Linux rendszermag hibája miatt. Természetesen, ha olyan kiszolgálót futtat, amely az Internetnek van kitéve, vagy olyan üzleti munkaállomást üzemeltet, amelyhez korlátozni kívánja a hozzáférést, gondoskodnia kell arról, hogy minden lehetséges biztonsági frissítés telepítve legyen.
Biztonsági frissítések ellenőrzése a Linux Mint
Bármely Linux Mint felhasználó, aki inkább az összes Ubuntu felhasználó által biztosított biztonsági frissítéssel rendelkezik, engedélyezheti őket a pénzverde frissítéskezelőjéből. Ezek a frissítések nem „elrejtve”, de alapértelmezés szerint csak le vannak tiltva.
A beállítás vezérléséhez nyissa meg az Update Manager alkalmazást az asztali környezet menüjéből. Kattintson a Szerkesztés menüre, és válassza a Beállítások lehetőséget. Ezután kiválaszthatja a telepíteni kívánt csomagok „szintjeit”. A „szintek” a korábban említett pénzverde-frissítési szabályok fájlban vannak meghatározva. Az 1-3. Szint alapértelmezés szerint engedélyezve van, míg a 4-5 szint alapértelmezés szerint le van tiltva. A Firefox egy 2. szintű csomag, amely alapértelmezés szerint frissül. Az X.org és a Linux rendszermagok a 4. és 5. szintek, így alapértelmezés szerint nem frissülnek.
Engedélyezze a 4. és az 5. szintet, és ugyanazokat a frissítéseket kapja az Ubuntu-ban - az Ubuntu saját frissítési tárolóiból származik -, de nagyobb a kockázata annak, hogy „regressziók” lépnek fel.
Az igazi nézeteltérés filozófiai. Az Ubuntu hibázik, ha alapértelmezés szerint mindent frissítenek, kiküszöbölve az összes lehetséges biztonsági rést - még azok is, amelyek valószínűleg nem használhatók ki az otthoni felhasználói rendszerekben. A Linux Mint hibásan zárja ki azokat a frissítéseket, amelyek problémákat okozhatnak.
Melyik megoldást választja, amit a számítógépe használ, és milyen kényelmes a kockázatokkal.