Pembangun Ubuntu Katakan Linux Mint tidak Insecure. Adakah Mereka Benar?
Linux Mint tidak selamat, menurut seorang pemaju Ubuntu yang bekerja sebagai Canonical yang mengatakan bahawa dia tidak akan melakukan perbankan dalam taliannya di Linux Mint PC. Pemaju mendakwa bahawa Linux Mint "mengunci" kemas kini penting. Adakah ini masalah sebenar atau hanya ketakutan?
Pembangun Ubuntu yang terlibat telah mendapat fakta tertentu yang salah dan telah merosakkan kesnya sendiri, tetapi masih ada hujah sebenar yang ada di sini. Ubuntu dan Linux Mint berurusan dengan kemas kini dengan cara yang berbeza, dan masing-masing mempunyai trade-offs sendiri.
Tuduhan Pemaju Ubuntu
Oliver Grawert, seorang pemaju Ubuntu yang bekerja sebagai Canonical, memulakan peperangan lisan dengan mesej ini pada senarai pemaju Ubuntu. Di dalamnya, beliau menyatakan bahawa kemas kini keselamatan "telah digodam keluar dari Linux Mint untuk Xorg, kernel, Firefox, bootloader dan pelbagai pakej lain".
Dia menyediakan pautan ke fail aturan Kemas Kini Mint, menyatakan bahawa ia "adalah senarai pakej [Mint] tidak akan pernah dikemas kini." Ini tidak benar - fail itu melakukan sesuatu yang lebih rumit daripada itu, tetapi kita akan masuk ke yang kemudian. Beliau meneruskan: "Saya akan mengatakan dengan tegas menjaga pelayar kernel terdedah atau xorg di tempat dan bukannya membenarkan kemas kini keselamatan yang disediakan untuk menjadi pemasang [sic] menjadikannya sistem terdedah ... Saya secara peribadi tidak akan melakukan perbankan dalam talian dengannya;)".
Sesetengah tuduhan ini benar-benar tidak benar. Memang benar bahawa Linux Mint blok kemas kini untuk pakej seperti pelayan grafik X.org, kernel Linux, dan bootloader secara lalai. Walau bagaimanapun, kemas kini ini tidak "digodam oleh Linux Mint," seperti yang akan kami tunjukkan kemudian. Linux Mint juga tidak menyekat kemas kini ke Firefox. Kemas kini pelayar web Firefox adalah penting untuk keselamatan dunia sebenar dan dibenarkan secara lalai, jadi tuduhan pemaju Ubuntu ini tidak tepat. Walau bagaimanapun, masih terdapat hujah sebenar di sini - Linux Mint tidak menyekat jenis kemas kini keselamatan tertentu secara lalai.
Maklum Balas Linux Mint
Pengasas Linux Mint dan pemaju utama Clement Lefebvre membalas tuduhan ini dengan catatan blog. Di dalamnya, beliau menegaskan bahawa pemaju Ubuntu tidak betul mengenai tuduhan yang kami jelaskan di atas. Dia juga menjelaskan alasan Linux Mint untuk tidak memasukkan kemas kini untuk pakej tertentu secara lalai:
"Kami menjelaskan pada tahun 2007 apa kekurangannya dengan cara Ubuntu mengesyorkan pengguna mereka untuk membabi buta menerapkan semua kemas kini yang tersedia. Kami menjelaskan masalah yang berkaitan dengan regresi dan kami melaksanakan penyelesaian yang kami sangat gembira. "
Firefox secara automatik dikemas kini oleh Linux Mint, sama seperti Ubuntu. Malah, kedua-dua pengedaran menggunakan pakej yang sama yang berasal dari repositori yang sama.
Argumen utama Linux Mint ialah pakej pengemaskinian "secara membabi buta" seperti pelayan grafik, pembuat boot, dan kernel Linux X.org boleh menyebabkan masalah. Kemas kini kepada pakej peringkat rendah ini boleh memperkenalkan pepijat pada beberapa jenis perkakasan, sementara masalah keselamatan yang mereka selesaikan bukanlah masalah bagi orang-orang yang menggunakan Linux Mint secara harfiah di rumah. Sebagai contoh, banyak kelemahan keselamatan dalam kernel Linux adalah kelemahan "kelebihan keistimewaan setempat". Mereka mungkin membenarkan pengguna dengan akses terhad kepada komputer untuk menjadi pengguna root dan mendapatkan akses lengkap, tetapi mereka tidak boleh dengan mudah dieksploitasi dari pelayar web seperti masalah keselamatan biasa di Java.
Adakah ini Sebenarnya Masalah?
Kedua-dua pihak mempunyai hujah yang baik. Di satu pihak, benar-benar benar bahawa Linux Mint sedang melumpuhkan kemas kini keselamatan untuk pakej tertentu secara lalai. Ini meninggalkan sistem Mint dengan kelemahan keselamatan yang lebih dikenali, yang secara teorinya boleh dieksploitasi.
Sebaliknya, benar bahawa kelemahan keselamatan ini tidak dieksploitasi secara aktif. Linux Mint memperbaharui perisian yang berada di bawah serangan sebenar, seperti penyemak imbas web. Memang benar bahawa kemas kini ke X.org telah menyebabkan masalah pada masa lalu. Pada tahun 2006, kemas kini Ubuntu memecah pelayan X dari banyak pengguna Ubuntu yang memasangnya, memaksa mereka masuk ke terminal Linux. Pengguna yang terpengaruh perlu memperbaiki sistem mereka dari terminal. Dasar Linux Mint mengenai kemas kini telah dijelaskan hanya setahun kemudian pada tahun 2007, jadi kemungkinan episod ini mempengaruhi pendirian Linux Mint saat ini.
Jika anda pengguna desktop rumah, anda mungkin tidak akan dikompromikan kerana kecacatan dalam kernel Linux. Sudah tentu, jika anda menjalankan pelayan yang terdedah kepada Internet atau mengendalikan stesen kerja perniagaan yang anda mahu untuk menyekat akses kepada, anda harus memastikan semua kemas kini keselamatan yang mungkin dipasang.
Mengendalikan Kemas Kini Keselamatan dalam Linux Mint
Mana-mana pengguna Linux Mint yang lebih suka mempunyai semua kemas kini keselamatan pengguna Ubuntu dapat membolehkan mereka dari dalam Pengurus Kemas Kini Mint. Kemas kini ini tidak "digodam," tetapi hanya dilumpuhkan secara lalai.
Untuk mengawal tetapan ini, buka aplikasi Pengurus Kemas Kini dari menu persekitaran desktop anda. Klik menu Edit dan pilih Pilihan. Anda kemudiannya boleh memilih "peringkat" pakej yang anda mahu pasang. "Tahap" ditakrifkan dalam fail peraturan kemasukan Mint yang telah disebutkan sebelumnya. Tahap 1-3 didayakan secara lalai, manakala tahap 4-5 dinyahdayakan secara lalai. Firefox adalah pakej tahap 2, yang dikemas kini secara lalai. X.org dan kernel Linux adalah tahap 4 dan 5, masing-masing, supaya mereka tidak dikemas kini secara lalai.
Dayakan tahap 4 dan 5 dan anda akan mendapat kemas kini yang sama yang anda lakukan di Ubuntu - datang dari repositori pembaruan Ubuntu sendiri - tetapi anda akan lebih berisiko "regresi" yang memperkenalkan masalah.
Perselisihan sebenar di sini adalah falsafah. Ubuntu salah pada sisi mengemas kini segala-galanya secara lalai, menghapuskan semua kelemahan keselamatan yang mungkin - malah yang tidak mungkin dieksploitasi pada sistem pengguna rumah. Linux Mint sesat di sisi tidak termasuk kemas kini yang berpotensi menyebabkan masalah.
Penyelesaian yang anda suka akan turun kepada apa yang anda gunakan untuk komputer anda dan bagaimana anda selesa dengan risiko.