Αρχική σελίδα » πως να » Οι προγραμματιστές του Ubuntu λένε ότι το Linux Mint είναι ανασφαλές. Είναι σωστά;

    Οι προγραμματιστές του Ubuntu λένε ότι το Linux Mint είναι ανασφαλές. Είναι σωστά;

    Το Linux Mint είναι ανασφαλές, σύμφωνα με έναν προγραμματιστή του Canonical Ubuntu που λέει ότι δεν θα κάνει ηλεκτρονική τραπεζική του σε ένα Linux Mint PC. Ο προγραμματιστής ισχυρίζεται ότι το νομισματοκοπείο Linux "hacks out" σημαντικές ενημερώσεις. Είναι αυτό ένα πραγματικό πρόβλημα ή απλώς ο φόβος-mongering?

    Ο εμπλεκόμενος προγραμματιστής του Ubuntu έχει καταλάβει ορισμένα γεγονότα και έχει καταστρέψει τη δική του περίπτωση, αλλά υπάρχει ακόμα ένα πραγματικό επιχείρημα. Το Ubuntu και το Linux Mint ασχολούνται με ενημερώσεις με διαφορετικούς τρόπους, και το καθένα έχει τα δικά του συμβιβασμούς.

    Οι ισχυρισμοί του προγραμματιστή του Ubuntu

    Ο Oliver Grawert, ένας προγραμματιστής του Ubuntu που απασχολείται ως κανάλι, ξεκίνησε τον προφορικό πόλεμο με αυτό το μήνυμα στη λίστα αλληλογραφίας των προγραμματιστών του Ubuntu. Σε αυτό, δήλωσε ότι οι ενημερώσεις ασφαλείας "διαγράφονται ρητά από το Linux Mint για το Xorg, τον πυρήνα, τον Firefox, το bootloader και διάφορα άλλα πακέτα".

    Έδωσε μια σύνδεση με το αρχείο κανόνων Mint Update, δηλώνοντας ότι "είναι μια λίστα πακέτων [Mint] δεν θα ενημερωθεί ποτέ". Αυτό είναι λανθασμένο - το αρχείο κάνει κάτι πιο περίπλοκο από αυτό, αλλά θα πάμε σε αυτό αργότερα. Συνέχισε: "Θα έλεγα με έντονο τρόπο τη διατήρηση ενός ευάλωτου φυλλομετρητή πυρήνα ή του xorg στη θέση του, αντί να επιτρέψω ότι οι παρεχόμενες ενημερώσεις ασφαλείας θα είναι εγκαταστάτες [sic] το καθιστά ευάλωτο σύστημα ... Εγώ προσωπικά δεν θα έκανα ηλεκτρονική τραπεζική με αυτό".

    Ορισμένοι από αυτούς τους ισχυρισμούς είναι εντελώς αναληθές. Είναι αλήθεια ότι το Linux Mint μπλοκάρει τις ενημερώσεις για πακέτα όπως ο γραφικός διακομιστής X.org, ο πυρήνας Linux και ο εκκινητής bootloader από προεπιλογή. Ωστόσο, αυτές οι ενημερώσεις δεν είναι "χαραγμένες από το Linux Mint", όπως θα δούμε αργότερα. Το Linux Mint επίσης δεν αποκλείει τις ενημερώσεις του Firefox. Οι ενημερώσεις του προγράμματος περιήγησης ιστού του Firefox είναι σημαντικές για την ασφάλεια του πραγματικού κόσμου και επιτρέπονται εξ ορισμού, επομένως οι ισχυρισμοί του προγραμματιστή του Ubuntu είναι εκτός λειτουργίας. Ωστόσο, υπάρχει ακόμα ένα πραγματικό επιχείρημα εδώ - το Linux Mint αποκλείει ορισμένους τύπους ενημερώσεων ασφαλείας από προεπιλογή.

    Απάντηση του νομισματοκοπείου Linux

    Ο ιδρυτής του Linux Mint και επικεφαλής προγραμματιστής Clement Lefebvre απάντησε σε αυτές τις κατηγορίες με μια θέση στο blog. Σε αυτό, επισημαίνει ότι ο προγραμματιστής του Ubuntu ήταν εσφαλμένος σχετικά με τους ισχυρισμούς που εξηγήσαμε παραπάνω. Διευκρινίζει επίσης τον λόγο του Linux Mint για την εξ ορισμού εξαίρεση ενημερώσεων για συγκεκριμένα πακέτα:

    "Εξηγήσαμε το 2007 ποιες ήταν οι ελλείψεις με τον τρόπο που το Ubuntu συνιστά στους χρήστες να εφαρμόζουν τυφλά όλες τις διαθέσιμες ενημερώσεις. Εξηγήσαμε τα προβλήματα που σχετίζονται με τις παλινδρομήσεις και εφαρμόσαμε μια λύση που είμαστε πολύ ικανοποιημένοι. "

    Ο Firefox ενημερώνεται αυτόματα από το Linux Mint, όπως και από το Ubuntu. Στην πραγματικότητα, και οι δύο διανομές χρησιμοποιούν το ίδιο πακέτο που προέρχεται από το ίδιο αποθετήριο.

    Το βασικό επιχείρημα του Linux Mint είναι ότι η "τυφλή" ενημέρωση πακέτων, όπως ο διακομιστής γραφικών, ο bootloader και ο πυρήνας Linux X.org, μπορεί να προκαλέσουν προβλήματα. Οι ενημερώσεις σε αυτά τα πακέτα χαμηλού επιπέδου μπορούν να εισάγουν σφάλματα σε ορισμένους τύπους υλικού, ενώ τα προβλήματα ασφαλείας που επιλύουν δεν είναι στην πραγματικότητα ένα πρόβλημα για άτομα που χρησιμοποιούν το Mint Linux τυχαία στο σπίτι. Για παράδειγμα, πολλά ελαττώματα ασφαλείας στον πυρήνα του Linux είναι ευπάθειες "κλιμάκωσης τοπικών προνομίων". Μπορούν να επιτρέψουν στους χρήστες με περιορισμένη πρόσβαση στον υπολογιστή να γίνουν ο χρήστης root και να αποκτήσουν πλήρη πρόσβαση, αλλά δεν μπορούν εύκολα να αξιοποιηθούν από ένα πρόγραμμα περιήγησης ιστού, όπως ένα τυπικό πρόβλημα ασφαλείας στην Java θα μπορούσε.

    Είναι αυτό πραγματικά πρόβλημα?

    Και οι δύο πλευρές έχουν καλά επιχειρήματα. Από τη μία πλευρά, είναι απολύτως αληθές ότι το Linux Mint απενεργοποιεί τις ενημερώσεις ασφαλείας για συγκεκριμένα πακέτα από προεπιλογή. Αυτό αφήνει ένα σύστημα νομισματοκοπείου με πιο γνωστά ευπάθειες ασφαλείας, τα οποία θα μπορούσαν θεωρητικά να αξιοποιηθούν.

    Από την άλλη πλευρά, είναι αλήθεια ότι αυτά τα τρωτά σημεία ασφαλείας δεν αξιοποιούνται ενεργά. Το Linux Mint ενημερώνει το λογισμικό που βρίσκεται κάτω από την πραγματική επίθεση, όπως τα προγράμματα περιήγησης ιστού. Είναι επίσης αλήθεια ότι οι ενημερώσεις στο X.org προκάλεσαν προβλήματα στο παρελθόν. Το 2006, μια ενημερωμένη έκδοση του Ubuntu έσπασε τον εξυπηρετητή X πολλών χρηστών του Ubuntu που το εγκατέστησαν, αναγκάζοντάς τους να τερματίσουν στο Linux. Οι επηρεαζόμενοι χρήστες έπρεπε να επισκευάσουν τα συστήματά τους από το τερματικό σταθμό. Η πολιτική του Mint για τις ενημερώσεις του Linux Mint είχε διατυπωθεί μόλις ένα χρόνο αργότερα το 2007, οπότε είναι πιθανό αυτό το επεισόδιο να επηρεάσει την τρέχουσα στάση του Linux Mint.

    Αν είστε οικιακός χρήστης στον υπολογιστή σας, πιθανότατα δεν πρόκειται να υποβαθμιστεί λόγω ελαττώματος στον πυρήνα του Linux. Φυσικά, αν τρέξετε ένα διακομιστή που είναι εκτεθειμένος στο Internet ή λειτουργούν έναν σταθμό εργασίας που θέλετε να περιορίσετε την πρόσβαση, θα πρέπει να βεβαιωθείτε ότι έχουν εγκατασταθεί όλες οι πιθανές ενημερώσεις ασφαλείας.

    Έλεγχος ενημερώσεων ασφαλείας στο Linux Νομισματοκοπείο

    Οποιοσδήποτε χρήστης του νομισματοκοπείου Linux που προτιμά να έχει όλες τις ενημερώσεις ασφαλείας που λαμβάνει ο χρήστης του Ubuntu, μπορεί να τις ενεργοποιήσει μέσα από το Mint's Update Manager. Αυτές οι ενημερώσεις δεν είναι "hacked out", αλλά απλώς απενεργοποιούνται από προεπιλογή.

    Για να ελέγξετε αυτή τη ρύθμιση, ανοίξτε την εφαρμογή Update Manager από το μενού του περιβάλλοντος εργασίας. Κάντε κλικ στο μενού Επεξεργασία και επιλέξτε Προτιμήσεις. Στη συνέχεια, θα μπορείτε να επιλέξετε τα "επίπεδα" των πακέτων που θέλετε να εγκαταστήσετε. Τα "επίπεδα" ορίζονται στο αρχείο κανόνων ενημερώσεων νομισματοκοπείου που αναφέραμε προηγουμένως. Τα επίπεδα 1-3 είναι ενεργοποιημένα από προεπιλογή, ενώ τα επίπεδα 4-5 είναι απενεργοποιημένα από προεπιλογή. Ο Firefox είναι πακέτο επιπέδου 2, το οποίο ενημερώνεται από προεπιλογή. Το X.org και ο πυρήνας Linux είναι επίπεδα 4 και 5, αντίστοιχα, έτσι ώστε να μην ενημερώνονται από προεπιλογή.

    Ενεργοποιήστε τα επίπεδα 4 και 5 και θα λάβετε τις ίδιες ενημερώσεις που θα κάνατε στο Ubuntu - που προέρχονται από τα αποθετήρια ενημέρωσης του Ubuntu - αλλά θα διατρέχετε μεγαλύτερο κίνδυνο "παλινδρόμησης" που παρουσιάζουν προβλήματα.


    Η πραγματική διαφωνία είναι εδώ φιλοσοφική. Το Ubuntu σφάλει από την πλευρά της ενημέρωσης όλων των προεπιλογών, εξαλείφοντας όλες τις πιθανές ευπάθειες ασφαλείας - ακόμα και εκείνες που είναι απίθανο να εκμεταλλευτούν τα συστήματα οικιακών χρηστών. Το Linux Mint σφάλλει στην πλευρά του αποκλεισμού ενημερώσεων που θα μπορούσαν να προκαλέσουν προβλήματα.

    Ποια λύση προτιμάτε θα καταλήξει σε αυτό που χρησιμοποιείτε για τον υπολογιστή σας και πόσο άνετα είστε με τους κινδύνους.