Ubuntu-utvecklare säger att Linux Mint är osäkert. Är de rätt?

Linux Mint är osäker, enligt en Canonical-anställd Ubuntu-utvecklare som säger att han inte skulle göra sin webbbank på en Linux Mint-dator. Utvecklaren hävdar att Linux Mint "hackar ut" viktiga uppdateringar. Är detta ett verkligt problem eller bara rädsla-mongering?

Den involverade Ubuntu-utvecklaren har fått vissa fakta fel och skadat sitt eget fall, men det finns fortfarande ett riktigt argument att vara här. Ubuntu och Linux Mint hanterar uppdateringar på olika sätt, och varje har sina egna avvägningar.

En Ubuntu-utvecklares påstådda åtaganden

Oliver Grawert, en Canonical-anställd Ubuntu-utvecklare, startade den verbala krigföring med detta meddelande på Ubuntu-utvecklarens postlista. I det konstaterade han att säkerhetsuppdateringar "uttryckligen hackas ut av Linux Mint för Xorg, kärnan, Firefox, bootloader och olika andra paket".

Han gav en länk till Mint Update-reglerfilen och uppgav att det "är en lista över paket [Mint] kommer aldrig att uppdateras." Detta är felaktigt - filen gör något mer komplicerat än det, men vi går in på det senare. Han fortsatte: "Jag skulle säga med kraft att hålla en sårbar kärna webbläsare eller xorg på plats i stället för att tillåta att säkerhetsuppdateringarna är installatör [sic] gör det till ett sårbart system ... Jag skulle inte personligen göra online banking med det;)".

Några av dessa påståenden är helt osannolika. Det är sant att Linux Mint blockerar uppdateringar för paket som X.orgs grafiska server, Linux-kärna och startladdare som standard. Dessa uppdateringar är emellertid inte "hackade ur Linux Mint", som vi visar senare. Linux Mint blockerar inte uppdateringar till Firefox. Uppdateringar till Firefox-webbläsaren är viktiga för säkerhet i verkligheten och tillåts som standard, så den här Ubuntu-utvecklarens påståenden är off-point. Det finns dock fortfarande ett riktigt argument här - Linux Mint blockerar vanligtvis vissa typer av säkerhetsuppdateringar som standard.

Linux Mint Svar

Linux Mint grundare och blyutvecklare Clement Lefebvre svarade på dessa anklagelser med ett blogginlägg. I det påpekar han att Ubuntu-utvecklaren var oriktig om de påståenden vi förklarade ovan. Han förtydligar också Linux Mints orsak för att utesluta uppdateringar för vissa paket som standard:

"Vi förklarade 2007 hur bristerna var med det sätt som Ubuntu rekommenderar sina användare att blint tillämpa alla tillgängliga uppdateringar. Vi förklarade problemen i samband med regressioner och vi implementerade en lösning som vi är mycket nöjda med. "

Firefox uppdateras automatiskt av Linux Mint, precis som av Ubuntu. Faktum är att båda distributionerna använder samma paket som kommer från samma förråd.

Linux Mints främsta argument är att "blint" uppdatering av paket som X.orgs grafiska server, bootloader och Linux-kärnan kan orsaka problem. Uppdateringar till dessa lågnivåpaket kan införa buggar på vissa typer av hårdvara, medan säkerhetsproblemen de löser inte är ett problem för personer som använder Linux Mint tillfälligt hemma. Till exempel är många säkerhetsbrister i Linux-kärnan "sårbarheter för lokal behörighet eskalering". De kan möjliggöra för användare med begränsad åtkomst till datorn att bli rotanvändaren och få fullständig åtkomst, men de kan inte enkelt utnyttjas från en webbläsare som ett typiskt säkerhetsproblem i Java kunde.

Är detta faktiskt ett problem?

Båda sidorna har goda argument. Å ena sidan är det helt sant att Linux Mint inaktiverar säkerhetsuppdateringar för vissa paket som standard. Detta lämnar ett Mint-system med mer kända säkerhetsproblem, som teoretiskt kan utnyttjas.

Å andra sidan är det sant att dessa säkerhetsproblem inte utnyttjas aktivt. Linux Mint uppdaterar programvara som är under faktisk attack, som webbläsare. Det är också sant att uppdateringar till X.org har orsakat problem tidigare. Under 2006 bröt en Ubuntu-uppdatering X-servern från många Ubuntu-användare som installerade den och tvingade dem till Linux-terminalen. Berörda användare var tvungna att reparera sina system från terminalen. Linux Mints policy om uppdateringar stavades ut bara ett år senare 2007, så det är troligt att det här avsnittet påverkat Linux Mints nuvarande hållning.

Om du är en stationär datoranvändare kommer du förmodligen inte att äventyras på grund av fel i Linux-kärnan. Självklart, om du kör en server som är utsatt för Internet eller använder en företags arbetsstation som du vill begränsa åtkomst till, bör du se till att alla möjliga säkerhetsuppdateringar är installerade.

Styra säkerhetsuppdateringar i Linux Mint

Alla Linux Mint-användare som hellre vill ha alla säkerhetsuppdateringar som Ubuntu-användare får kan aktivera dem från Mint's Update Manager. Dessa uppdateringar är inte "hackade", men deaktiveras som standard.

För att kontrollera denna inställning öppnar du programmet Update Manager från skrivbordsmiljöens meny. Klicka på Redigera-menyn och välj Inställningar. Du kan då välja "nivåer" av paket som du vill installera. "Nivåer" definieras i filen Mint Update Rules som vi nämnde tidigare. Nivå 1-3 är aktiverade som standard medan nivå 4-5 är avstängda som standard. Firefox är ett nivå 2-paket, som uppdateras som standard. X.org och Linux-kärnan är nivå 4 respektive 5, så de uppdateras inte som standard.

Aktivera nivå 4 och 5 och du får samma uppdateringar som du skulle ha i Ubuntu - kommer från Ubuntus egna uppdateringsreparationer - men du kommer vara mer utsatt för "regressions" som introducerar problem.

Den verkliga motsättningen här är en filosofisk. Ubuntu errs på sidan för att uppdatera allt som standard, vilket eliminerar alla möjliga säkerhetsproblem, även de som inte kommer att utnyttjas på hemanvändarsystem. Linux Mint errs på sidan för att utesluta uppdateringar som eventuellt kan orsaka problem.

Vilken lösning du föredrar kommer att komma ner till vad du använder din dator för och hur bekväm du är med riskerna.