Vývojáři Ubuntu říkají, že Linuxová mincovna je neohrožená. Jsou správní?
Linuxová mincovna je nejistá, podle kanonicky zaměstnaného vývojáře Ubuntu, který říká, že on by neudělal své online bankovnictví na Linuxovém mincovním počítači. Vývojář tvrdí, že Linux Mint "hacks out" důležité aktualizace. Je to skutečný problém, nebo jen strach-mongering?
Zúčastněný vývojář Ubuntu získal určité skutečnosti špatně a poškodil svůj vlastní případ, ale stále existuje skutečný argument. Ubuntu a Linux Mint se zabývají aktualizacemi různými způsoby a každý má své vlastní kompromisy.
Události vývojáře Ubuntu
Oliver Grawert, kanonicky vyčerpávající vývojář Ubuntu, zahájil verbální válku s touto zprávou na konferenci Ubuntu pro vývojáře. V něm uvedl, že aktualizace zabezpečení "jsou explicitně vyřazeny z Linuxu pro Xorg, jádro, Firefox, bootloader a další balíčky".
Poskytl odkaz na soubor pravidel Mint Update, v němž uvedl, že "je seznam balíčků [Mint] se nikdy neaktualizuje." Je to nesprávné - soubor dělá něco komplikovanějšího, ale do toho budeme později. Pokračoval: "Řekl bych, že by násilím udržel zranitelného prohlížeče jádra nebo xorg na místě, místo aby dovolil, aby poskytnuté aktualizace zabezpečení byly instalátory [sic] z něj dělá zranitelný systém ... Já osobně bych s ním neudělal on-line bankovnictví;)".
Některé z těchto obvinění jsou zcela nepravdivé. Je pravda, že Linux Mint blokuje aktualizace pro balíčky, jako je grafický server X.org, jádro Linuxu a bootloader ve výchozím nastavení. Tyto aktualizace však nejsou "vyřízeny z Linuxu mincovny", jak se ukážeme později. Linux Mint také nezakrývá aktualizace Firefoxu. Aktualizace webového prohlížeče Firefoxu jsou pro zabezpečení v reálném světě důležitá a ve výchozím nastavení jsou povoleny, takže obvinění vývojáře Ubuntu jsou mimořádná. Existuje však stále skutečný argument - Linux Mint blokuje určité typy aktualizací zabezpečení ve výchozím nastavení.
Odpověď systému Linux Mint
Zakladatel Linuxového mincovny a vedoucí vývojář Clement Lefebvre reagoval na tyto obvinění pomocí blogového příspěvku. V tom poukazuje na to, že vývojář Ubuntu byl nesprávný ohledně obvinění, které jsme vysvětlili výše. Také objasňuje důvod, proč Linux Mint vyloučil aktualizace pro určité balíky ve výchozím nastavení:
"V roce 2007 jsme vysvětlili, jaké jsou nedostatky způsobu, jakým Ubuntu doporučuje uživatelům, aby slepě použili všechny dostupné aktualizace. Vysvětlili jsme problémy spojené s regresemi a implementovali jsme řešení, které jsme velmi spokojeni. "
Firefox je automaticky aktualizován Linuxem Mint, stejně jako u Ubuntu. Ve skutečnosti obě distribuce používají stejný balíček, který pochází ze stejného úložiště.
Hlavní argument Linux Mint je, že "slepé" aktualizace balíčků, jako je grafický server, bootloader a linuxové jádro X.org, mohou způsobit problémy. Aktualizace těchto balíčků na nízké úrovni mohou zavést chyby na některých typech hardwaru, zatímco bezpečnostní problémy, které řeší, nejsou ve skutečnosti problémem pro lidi, kteří používají Linux Mint neformálně doma. Například mnoho chyb zabezpečení v jádře Linuxu je zranitelností "eskalace místních privilegií". Mohou umožnit uživatelům s omezeným přístupem k počítači, aby se stali kořenovým uživatelem a získali úplný přístup, ale nemohou být snadno využívány z webového prohlížeče jako typický bezpečnostní problém v jazyce Java.
Je to skutečně problém?
Obě strany mají dobré argumenty. Na jedné straně je naprosto pravda, že Linux Mint ve výchozím nastavení zakázá aktualizace zabezpečení pro určité balíky. To zanechává systém Mint se známými zranitelnostmi zabezpečení, které by mohly být teoreticky využívány.
Na druhou stranu je pravda, že tyto bezpečnostní chyby nejsou aktivně využívány. Linux Mint provádí aktualizaci softwaru, který je pod skutečným útokem, jako jsou webové prohlížeče. Je také pravda, že aktualizace na serveru X.org způsobily problémy v minulosti. V roce 2006 byla aktualizace Ubuntu přerušena X serverem mnoha uživatelů Ubuntu, kteří jej nainstalovali a vynucovali je do Linuxového terminálu. Dotčení uživatelé museli opravit své systémy z terminálu. Pravidla pro Linux Mint o aktualizacích byla vysvětlena jen o rok později v roce 2007, takže je pravděpodobné, že tato epizoda ovlivnila současný postoj Linuxu Mint.
Pokud jste uživatel domácího počítače, pravděpodobně nebudete ohroženi kvůli chybě v jádře Linuxu. Samozřejmě, pokud spustíte server, který je vystaven Internetu nebo provozujete pracovní stanici, kterou chcete omezit, měli byste zajistit, že budou nainstalovány všechny možné aktualizace zabezpečení.
Ovládání aktualizací zabezpečení v systému Linux Mint
Jakýkoli uživatel systému Linux Mint, který by měl spíše všechny aktualizace zabezpečení, které uživatelé Ubuntu získají, je může povolit v nástroji Mint's Update Manager. Tyto aktualizace nejsou "hackovány", ale jsou ve výchozím nastavení vypnuty.
Chcete-li toto nastavení ovládat, otevřete aplikaci Update Manager z nabídky prostředí pracovního prostředí. Klikněte na nabídku Upravit a vyberte možnost Předvolby. Pak budete moci vybrat "úrovně" balíků, které chcete nainstalovat. "Úrovně" jsou definovány v souboru Pravidla aktualizace mincí, který jsme zmínili dříve. Úrovně 1-3 jsou ve výchozím nastavení povoleny, zatímco úrovně 4-5 jsou ve výchozím nastavení zakázány. Firefox je balíček úrovně 2, který je ve výchozím nastavení aktualizován. X.org a jádro Linuxu jsou úrovně 4 a 5, takže nejsou ve výchozím nastavení aktualizovány.
Povolte úroveň 4 a 5 a získáte stejné aktualizace, jaké byste měli v Ubuntu - pocházejících z vlastních úložišť aktualizací Ubuntu - ale budete mít větší riziko "regresí", které představují problémy.
Skutečná neshoda je zde filozofická. Ubuntu se chybí na straně všeho ve výchozím nastavení, čímž eliminuje všechny možné bezpečnostní zranitelnosti - dokonce i ty, u kterých je nepravděpodobné, že budou využívány v domácích uživatelských systémech. Linux Mint chybí na straně vyloučení aktualizací, které by mohly způsobit problémy.
Které upřednostňované řešení se bude shodovat s tím, na co používáte počítač a jak jste s těmito riziky spokojeni.