Ubuntu-utviklere sier at Linux Mint er usikkert. Er de rett?

Linux Mint er usikkert, ifølge en Canonical-ansatt Ubuntu-utvikler som sier at han ikke ville gjøre sin nettbank på en Linux Mint PC. Utvikleren påstår at Linux Mint "hacks ut" viktige oppdateringer. Er dette et reelt problem eller bare frykt-mongering?

Den involverte Ubuntu-utvikleren har fått visse fakta galt og skadet sitt eget tilfelle, men det er fortsatt et reelt argument å være her. Ubuntu og Linux Mint håndterer oppdateringer på forskjellige måter, og hver har sine egne avveier.

En Ubuntu-utviklerens påstander

Oliver Grawert, en Canonical-ansatt Ubuntu-utvikler, startet den verbale krigføring med denne meldingen på Ubuntu-utviklernes mailingliste. I det sa han at sikkerhetsoppdateringer "eksplisitt hackes ut av Linux Mint for Xorg, kjernen, Firefox, bootloaderen og diverse andre pakker".

Han ga en lenke til Mint Update reglerfilen, og sier at det er "en liste over pakker [Mint] vil aldri oppdatere." Dette er feil - filen gjør noe mer komplisert enn det, men vi går inn på det senere. Han fortsatte: "Jeg vil si med kraft å holde en sårbar kjernebrowser eller xorg på plass i stedet for å la de angitte sikkerhetsoppdateringene være installatør [sic] gjør det til et sårbart system ... Jeg personlig ville ikke gjøre nettbank med det;)".

Noen av disse påstandene er helt usanne. Det er sant at Linux Mint blokkerer oppdateringer for pakker som X.org-grafisk server, Linux-kjernen og oppstartslader som standard. Disse oppdateringene er imidlertid ikke "hacked out of Linux Mint", som vi viser senere. Linux Mint blokkerer ikke oppdateringer til Firefox. Oppdateringer til Firefox-nettleseren er viktige for sikkerheten i verden og er tillatt som standard, slik at denne Ubuntu-utviklerens påstander er off-point. Men det er fortsatt et reelt argument her - Linux Mint blokkerer visse typer sikkerhetsoppdateringer som standard.

Linux Mint's Response

Linux Mint grunnlegger og ledende utvikler Clement Lefebvre reagerte på disse anklagene med et blogginnlegg. I det peker han på at Ubuntu-utvikleren var feil på påstandene vi forklarte ovenfor. Han forklarer også Linux Mints grunn til å ekskludere oppdateringer for bestemte pakker som standard:

"Vi forklarte i 2007 hva manglene var med måten Ubuntu anbefaler at brukerne blindt bruker alle tilgjengelige oppdateringer. Vi forklarte problemene knyttet til regresjoner, og vi implementerte en løsning vi er veldig fornøyd med. "

Firefox oppdateres automatisk av Linux Mint, akkurat som det er av Ubuntu. Faktisk bruker begge distribusjoner samme pakke som kommer fra det samme lagringsstedet.

Linux Mints primære argument er at "blindt" oppdatering av pakker som X.org grafisk server, bootloader og Linux-kjernen kan forårsake problemer. Oppdateringer til disse lavnivåpakker kan introdusere feil på noen typer maskinvare, mens sikkerhetsproblemene de løser, ikke er et problem for folk som bruker Linux Mint tilfeldig hjemme. For eksempel er mange sikkerhetsfeil i Linux-kjernen "sårbarheter for lokal privilegium eskalering". De kan tillate brukere med begrenset tilgang til datamaskinen å bli roten bruker og få full tilgang, men de kan ikke lett utnyttes fra en nettleser som et typisk sikkerhetsproblem i Java kunne.

Er dette egentlig et problem?

Begge sider har gode argumenter. På den ene siden er det helt sant at Linux Mint deaktiverer sikkerhetsoppdateringer for bestemte pakker som standard. Dette etterlater et Mint-system med mer kjente sikkerhetsproblemer, som teoretisk kunne utnyttes.

På den annen side er det sant at disse sikkerhetsproblemene ikke utnyttes aktivt. Linux Mint oppdaterer programvare som er under faktisk angrep, som nettlesere. Det er også sant at oppdateringer til X.org har forårsaket problemer tidligere. I 2006 brøt en Ubuntu-oppdatering X-serveren til mange Ubuntu-brukere som installerte den, og tvinger dem til Linux-terminalen. Berørte brukere måtte reparere sine systemer fra terminalen. Linux Mints retningslinjer for oppdateringer ble stavet ut bare et år senere i 2007, så det er sannsynlig at denne episoden påvirket Linux Mints nåværende holdning.

Hvis du er en hjemme-skrivebordsbrukere, vil du sannsynligvis ikke bli kompromittert på grunn av en feil i Linux-kjernen. Selvfølgelig, hvis du kjører en server som er utsatt for Internett eller driver en arbeidsstasjon du vil begrense tilgang til, bør du sørge for at alle mulige sikkerhetsoppdateringer er installert.

Kontrollere sikkerhetsoppdateringer i Linux Mint

Enhver Linux Mint-bruker som helst vil ha alle sikkerhetsoppdateringene Ubuntu-brukere får, kan aktivere dem fra Mint's Update Manager. Disse oppdateringene er ikke "hacked out", men deaktiveres som standard.

For å kontrollere denne innstillingen, åpne Update Manager-programmet fra skrivebordsmiljømenyen. Klikk på Rediger-menyen, og velg Innstillinger. Du vil da kunne velge "nivåene" av pakker du vil installere. "Nivåer" er definert i Mint Update Rules-filen vi nevnte tidligere. Nivå 1-3 er aktivert som standard, mens nivå 4-5 er deaktivert som standard. Firefox er en nivå 2-pakke, som oppdateres som standard. X.org og Linux-kjernen er henholdsvis nivå 4 og 5, slik at de ikke oppdateres som standard.

Aktiver nivå 4 og 5, og du får de samme oppdateringene du vil i Ubuntu - kommer fra Ubuntus egen oppdateringsrekvisita - men du vil være mer utsatt for "regressions" som introduserer problemer.

Den virkelige uenigheten her er en filosofisk en. Ubuntu errs på siden av å oppdatere alt som standard, eliminere alle mulige sikkerhetsproblemer - selv de som ikke er utnytte til bruk på hjemmebrukere. Linux Mint errs på siden av å ekskludere oppdateringer som potensielt kan forårsake problemer.

Hvilken løsning du foretrekker vil komme ned til det du bruker datamaskinen din til og hvor komfortabel du er med risikoen.