Разработчики Ubuntu говорят, что Linux Mint небезопасен Они правы?
Linux Mint небезопасен, по словам разработчика Ubuntu, занятого в Canonical, который говорит, что не будет заниматься онлайн-банкингом на компьютере Linux Mint. Разработчик утверждает, что Linux Mint «взламывает» важные обновления. Это настоящая проблема или просто страх?
Вовлеченный разработчик Ubuntu допустил некоторые факты неправильно и повредил свой собственный случай, но здесь все еще есть реальный аргумент. Ubuntu и Linux Mint работают с обновлениями по-разному, и у каждого есть свои компромиссы.
Утверждения разработчика Ubuntu
Оливер Граверт, разработчик Ubuntu, работающий в Canonical, начал словесную войну с этого сообщения в списке рассылки разработчиков Ubuntu. В нем он заявил, что обновления безопасности «явно взломаны из Linux Mint для Xorg, ядра, Firefox, загрузчика и других пакетов»..
Он предоставил ссылку на файл правил Mint Update, заявив, что это «список пакетов, которые Mint никогда не обновит». Это неверно - файл делает что-то более сложное, чем это, но мы поговорим об этом позже. Он продолжил: «Я бы сказал, принудительно удерживая уязвимый браузер ядра или xorg на месте, вместо того, чтобы разрешить установщику обновлений для системы безопасности [sic] сделать его уязвимой системой… Я лично не стал бы делать с ним онлайн-банкинг;)».
Некоторые из этих утверждений полностью не соответствуют действительности. Это правда, что Linux Mint по умолчанию блокирует обновления для таких пакетов, как графический сервер X.org, ядро Linux и загрузчик. Однако эти обновления не «взломаны из Linux Mint», как мы покажем позже. Linux Mint также не блокирует обновления для Firefox. Обновления веб-браузера Firefox важны для реальной безопасности и разрешены по умолчанию, поэтому утверждения этого разработчика Ubuntu не соответствуют действительности. Однако здесь все еще есть реальный аргумент - Linux Mint блокирует определенные типы обновлений безопасности по умолчанию.
Ответ Linux Mint
Основатель и ведущий разработчик Linux Mint Клемент Лефевр ответил на эти обвинения постом в блоге. В нем он указывает, что разработчик Ubuntu ошибался в отношении утверждений, которые мы объяснили выше. Он также разъясняет причину, по которой Linux Mint исключает обновления для определенных пакетов по умолчанию:
«В 2007 году мы объяснили, какие недостатки были в том, как Ubuntu рекомендует своим пользователям вслепую применять все доступные обновления. Мы объяснили проблемы, связанные с регрессией, и мы нашли решение, которым мы очень довольны ».
Firefox автоматически обновляется Linux Mint, как и Ubuntu. На самом деле, оба дистрибутива используют один и тот же пакет из одного и того же репозитория..
Основной аргумент Linux Mint заключается в том, что «вслепую» обновление пакетов, таких как графический сервер X.org, загрузчик и ядро Linux, может вызвать проблемы. Обновления этих низкоуровневых пакетов могут привести к ошибкам на некоторых типах оборудования, в то время как проблемы безопасности, которые они решают, на самом деле не являются проблемой для людей, которые используют Linux Mint случайно дома. Например, многие недостатки безопасности в ядре Linux являются уязвимостями «локального повышения привилегий». Они могут позволить пользователям с ограниченным доступом к компьютеру стать пользователем root и получить полный доступ, но их нельзя легко использовать из веб-браузера, как это может сделать типичная проблема безопасности в Java..
Это на самом деле проблема?
У обеих сторон есть хорошие аргументы. С одной стороны, абсолютно верно, что Linux Mint отключает обновления безопасности для определенных пакетов по умолчанию. Это оставляет систему Mint с более известными уязвимостями безопасности, которые теоретически могут быть использованы.
С другой стороны, это правда, что эти уязвимости безопасности не используются активно. Linux Mint обновляет программное обеспечение, которое подвергается реальной атаке, например веб-браузеры. Также верно, что обновления X.org вызывали проблемы в прошлом. В 2006 году обновление Ubuntu сломало X-сервер многих пользователей Ubuntu, которые его установили, заставив их войти в терминал Linux. Пострадавшие пользователи должны были восстановить свои системы с терминала. Политика Linux Mint в отношении обновлений была изложена всего лишь годом позже, в 2007 году, поэтому вполне вероятно, что этот эпизод повлиял на текущую позицию Linux Mint..
Если вы пользователь домашнего компьютера, вы, вероятно, не будете скомпрометированы из-за недостатка в ядре Linux. Конечно, если вы используете сервер, подключенный к Интернету, или работаете на рабочей станции, доступ к которой хотите ограничить, вы должны убедиться, что установлены все возможные обновления безопасности..
Управление обновлениями безопасности в Linux Mint
Любой пользователь Linux Mint, который предпочел бы иметь все обновления безопасности, которые получают пользователи Ubuntu, может включить их из диспетчера обновлений Mint. Эти обновления не «взломаны», а просто отключены по умолчанию.
Для управления этим параметром откройте приложение Update Manager из меню вашего рабочего стола. Нажмите меню «Правка» и выберите «Настройки». После этого вы сможете выбрать «уровни» пакетов, которые хотите установить. «Уровни» определены в файле правил обновления Mint, который мы упоминали ранее. Уровни 1-3 включены по умолчанию, а уровни 4-5 по умолчанию отключены. Firefox - это пакет уровня 2, который обновляется по умолчанию. X.org и ядро Linux имеют уровни 4 и 5 соответственно, поэтому они не обновляются по умолчанию.
Включите уровни 4 и 5, и вы получите те же обновления, что и в Ubuntu, - исходя из собственных репозиториев обновлений Ubuntu, - но вы будете более подвержены риску «регрессий», приводящих к проблемам..
Настоящее разногласие здесь философское. Ubuntu ошибается в обновлении всего по умолчанию, устраняя все возможные уязвимости безопасности - даже те, которые вряд ли будут использоваться в домашних пользовательских системах. Linux Mint допускает ошибки в сторону исключения обновлений, которые потенциально могут вызвать проблемы.
Какое решение вы предпочитаете, будет зависеть от того, для чего вы используете свой компьютер, и насколько вы чувствуете себя комфортно с рисками.
