Ubuntu-udviklere siger, at Linux Mint er usikkert. Er de rigtige?

Linux Mint er usikkert, ifølge en canonisk-ansat Ubuntu-udvikler, der siger, at han ikke ville gøre sin internetbank på en Linux Mint-pc. Udvikleren hævder, at Linux Mint "hacker ud" vigtige opdateringer. Er dette et ægte problem eller bare frygt-mongering?

Den involverede Ubuntu-udvikler har fået visse fakta forkert og beskadiget sin egen sag, men der er stadig et rigtigt argument til at blive her. Ubuntu og Linux Mint beskæftiger sig med opdateringer på forskellige måder, og hver har sine egne afvejninger.

En Ubuntu-udviklers påstande

Oliver Grawert, en Canonical-ansat Ubuntu-udvikler, startede den verbale krigføring med denne meddelelse på Ubuntu-udviklernes mailingliste. I den udtalte han, at sikkerhedsopdateringer "eksplicit er hacket ud af Linux Mint til Xorg, kernen, Firefox, bootloaderen og forskellige andre pakker".

Han gav et link til Mint Update regler filen, idet han sagde, at det "er en liste over pakker [Mint] vil aldrig opdatere." Dette er forkert - filen gør noget mere kompliceret end det, men vi går ind på det senere. Han fortsatte: "Jeg ville sige med kraft at holde en sårbar kernel browser eller xorg på plads i stedet for at tillade de medfølgende sikkerhedsopdateringer at være installatør [sic] gør det til et sårbart system ... Jeg ville personligt ikke gøre online banking med det;)".

Nogle af disse påstande er helt usande. Det er rigtigt, at Linux Mint blokerer opdateringer til pakker som f.eks. X.orgs grafiske server, Linux-kerne og bootloader som standard. Disse opdateringer er imidlertid ikke "hacket ud af Linux Mint", som vi viser senere. Linux Mint blokkerer ikke opdateringer til Firefox. Opdateringer til Firefox-browseren er vigtige for sikkerheden i verden og er som standard tilladt, så denne Ubuntu-udviklers påstande er off-point. Der er dog stadig et rigtigt argument her - Linux Mint blokkerer som regel visse typer sikkerhedsopdateringer.

Linux Mint's Response

Linux Mint grundlægger og lead udvikler Clement Lefebvre reagerede på disse beskyldninger med et blogindlæg. I den påpeger han, at Ubuntu-udvikleren var forkert over de påstande, vi forklarede ovenfor. Han præciserer også Linux Mints grund til at udelukke opdateringer for visse pakker som standard:

"Vi forklarede i 2007, hvad manglerne var med den måde, Ubuntu anbefaler deres brugere at blindt anvende alle tilgængelige opdateringer på. Vi forklarede de problemer, der er forbundet med regressioner, og vi implementerede en løsning, som vi er meget tilfredse med. "

Firefox opdateres automatisk af Linux Mint, ligesom Ubuntu. Faktisk bruger begge distributioner den samme pakke, der kommer fra det samme depot.

Linux Mints primære argument er, at "blindt" opdatering af pakker som X.org grafiske server, bootloader og Linux-kerne kan forårsage problemer. Opdateringer til disse pakker på lavt niveau kan introducere fejl på nogle typer hardware, mens de sikkerhedsproblemer, de løser, ikke er et problem for folk, der bruger Linux Mint tilfældigt hjemme. For eksempel er mange sikkerhedsfejl i Linux-kernen "sårbarheder med lokal privilegium eskalering". De kan give brugere med begrænset adgang til computeren mulighed for at blive rootbrugeren og få fuldstændig adgang, men de kan ikke nemt udnyttes fra en webbrowser som et typisk sikkerhedsproblem i Java..

Er dette faktisk et problem?

Begge sider har gode argumenter. På den ene side er det helt sandt, at Linux Mint deaktiverer sikkerhedsopdateringer for visse pakker som standard. Dette efterlader et Mint-system med mere kendte sikkerhedsproblemer, som teoretisk kunne udnyttes.

På den anden side er det rigtigt, at disse sikkerhedsproblemer ikke udnyttes aktivt. Linux Mint opdaterer software, der er under egentlige angreb, som webbrowsere. Det er også rigtigt, at opdateringer til X.org har forårsaget problemer i fortiden. I 2006 brød en Ubuntu-opdatering X-serveren fra mange Ubuntu-brugere, der installerede den, og tvang dem til Linux-terminalen. Berørte brugere måtte reparere deres systemer fra terminalen. Linux Mints politik for opdateringer blev spelt ud bare et år senere i 2007, så det er sandsynligvis denne episode, der berørte Linux Mint's nuværende holdning.

Hvis du er en hjemme-desktopbruger, vil du sandsynligvis ikke blive kompromitteret på grund af en fejl i Linux-kernen. Selvfølgelig, hvis du kører en server, der er udsat for internettet eller driver en forretningsstation, du ønsker at begrænse adgang til, skal du sørge for at alle mulige sikkerhedsopdateringer er installeret.

Kontrol af sikkerhedsopdateringer i Linux Mint

Enhver Linux Mint-bruger, der hellere vil have alle sikkerhedsopdateringer, som Ubuntu-brugere får, kan aktivere dem fra Mint's Update Manager. Disse opdateringer er ikke "hacket ud", men deaktiveres som standard.

For at kontrollere denne indstilling skal du åbne programmet Update Manager fra menuen på skrivebordsmiljøet. Klik på menuen Rediger, og vælg Indstillinger. Du kan derefter vælge "niveauer" af pakker, du vil installere. "Niveauer" er defineret i Mint Update regler filen, vi nævnte tidligere. Niveau 1-3 er aktiveret som standard, mens niveau 4-5 er deaktiveret som standard. Firefox er et niveau 2-pakke, som er opdateret som standard. X.org og Linux-kernen er henholdsvis niveau 4 og 5, så de opdateres ikke som standard.

Aktivér niveau 4 og 5, og du får de samme opdateringer, du vil i Ubuntu - kommer fra Ubuntu's egen opdateringsarkiv - men du vil være mere udsat for "regressions", der introducerer problemer.

Den virkelige uenighed her er en filosofisk. Ubuntu errs på siden af ​​at opdatere alt som standard, hvilket eliminerer alle mulige sikkerhedsproblemer - selv dem, der usandsynligt vil blive udnyttet på hjemmeanvendelsessystemer. Linux Mint errs på siden af ​​at udelukke opdateringer, der potentielt kan skabe problemer.

Hvilken løsning du foretrækker vil komme ned til, hvad du bruger din computer til, og hvor behagelig du er med risikoen.