Ubuntu-kehittäjä on saanut tietyt tosiseikat väärin ja vahingoittanut omaa tapaustaan, mutta täällä on vielä todellinen argumentti. Ubuntu ja Linux Mint käsittelevät päivityksiä eri tavoin, ja kullakin on omat kompromissinsa.
Ubuntun kehittäjän syytökset
Ubuntu-kehittäjä Oliver Grawert aloitti suullisen sodankäynnin tämän viestin kanssa Ubuntu-kehittäjien postituslistalla. Siinä hän totesi, että tietoturvapäivitykset "eksplisiittisesti eksyvät Linux Mint for Xorgista, ytimestä, Firefoxista, käynnistyslataimesta ja useista muista paketeista".
Hän tarjosi linkin Mint Update -sääntötiedostoon ja ilmoitti, että se on "pakettien luettelo [Mint] ei koskaan päivitä." Tämä on väärä - tiedosto tekee jotain monimutkaisempaa, mutta menemme myöhemmin. Hän jatkoi: "Haluan sanoa, että säilytetään haavoittuva ydin-selain tai xorg paikallaan sen sijaan, että sallitut tietoturvapäivitykset olisivat asentajia [sic] tekee haavoittuvasta järjestelmästä … En henkilökohtaisesti halua tehdä verkkopankkia sen kanssa;)".
Jotkut näistä väitteistä ovat täysin epätodennäköisiä. On totta, että Linux Mint lakkaa päivityksiä paketeista, kuten X.org-grafiikkapalvelimesta, Linux-ytimestä ja käynnistyslataimesta oletuksena. Näitä päivityksiä ei kuitenkaan ole "purettu Linux Mintista", kuten näytämme myöhemmin. Linux Mint ei myöskään estä Firefox-päivityksiä. Firefox-selaimen päivitykset ovat tärkeitä reaalimaailman turvallisuuden kannalta, ja ne ovat oletuksena sallittuja, joten Ubuntun kehittäjän väitteet ovat epäkohdat. Tässä on kuitenkin vielä todellinen argumentti - Linux Mint estää tietyntyyppiset tietoturvapäivitykset oletuksena.
Linux Mintin vastaus
Linux Mintin perustaja ja lyijykehittäjä Clement Lefebvre vastasi näihin syytöksiin blogikirjoituksella. Siinä hän huomauttaa, että Ubuntun kehittäjä oli virheellinen edellä selostetuista väitteistä. Hän myös selventää Linux Mintin syytä sulkea pois päivitykset tietyistä paketeista oletuksena:
“We explained in 2007 what the shortcomings were with the way Ubuntu recommends their users to blindly apply all available updates. We explained the problems associated with regressions and we implemented a solution we’re very happy with.”
Ubuntu julkaisee Linux Mintin automaattisesti Firefoxin. Itse asiassa molemmat jakelut käyttävät samaa pakkausta, joka on peräisin samasta arkistosta.
Linux Mintin ensisijainen väite on, että "sokeasti" päivittäminen paketeista kuten X.org-graafisesta palvelimesta, käynnistyslataimesta ja Linux-ytimestä voi aiheuttaa ongelmia. Näiden alitasoisten pakettien päivitykset voivat tuoda vikoja tiettyihin laitteistoihin, mutta niiden ratkaisemat turvallisuusongelmat eivät ole todellisuudessa ongelma niille, jotka käyttävät Linux Mintia rennosti kotona. Esimerkiksi monet Linux-ytimen tietoturva-aukot ovat "paikallisen etuoikeuden eskaloitumisen" haavoittuvuuksia. Ne saattavat sallia, että käyttäjät, joilla on rajoitettu pääsy tietokoneeseen, tulevat pääkäyttäjiksi ja saavat täydellisen pääsyn, mutta niitä ei voi helposti hyödyntää selaimella, kuten tyypillinen Java-ongelman tietoturvaongelma.
Onko tämä todellisuudessa ongelma?
Molemmilla osapuolilla on hyvät perustelut. Toisaalta on täysin totta, että Linux Mint on poistaa tiettyjen pakettien tietoturvapäivitykset käytöstä oletuksena. Tämä jättää Mint-järjestelmään, jolla on tunnetut tietoturvahaavat, joita voitaisiin teoriassa hyödyntää.
Toisaalta on totta, että näitä tietoturvahaavoittuvuuksia ei hyödynnetä aktiivisesti. Linux Mint ei päivitä ohjelmia, jotka ovat todellisessa hyökkäyksessä, kuten web-selaimissa. On myös totta, että X.orgin päivitykset ovat aiemmin aiheuttaneet ongelmia. Vuonna 2006 Ubuntu-päivitys rikkoi useiden Ubuntu-käyttäjien X-palvelimen, joka asensi sen, pakottamalla ne Linux-päätteeseen. Vaikuttavien käyttäjien oli korjattava järjestelmät terminaalista. Linux Mintin päivityksiä koskeva politiikka on kirjoitettu vain vuosi myöhemmin vuonna 2007, joten todennäköisesti tämä jakso vaikuttaa Linux Mintin nykyiseen asenteeseen.
Jos olet kotikäyttäjä, et todennäköisesti vaarannu Linux-ytimen virheestä johtuen. Tietenkin, jos suoritat palvelimen, joka on alttiina Internetille tai käytät yritystyöasemaa, jonka haluat rajoittaa pääsyä, varmista, että kaikki mahdolliset tietoturvapäivitykset on asennettu.
Tietoturvapäivitysten hallinta Linux Mintissa
Jokainen Linux Mintin käyttäjä, joka haluaa saada kaikki Ubuntun käyttäjien tietoturvapäivitykset, voi ottaa heidät käyttöön Mintin Päivitys Managerissa. Näitä päivityksiä ei ole "hakkeroitu", mutta ne on oletusarvoisesti poistettu käytöstä.
Voit hallita tätä asetusta avaamalla Update Manager -sovelluksen työpöytäympäristön valikosta. Napsauta Muokkaa-valikkoa ja valitse Asetukset. Sen jälkeen voit valita asennettavien pakettien "tasot". "Tasot" määritellään aiemmin mainitsemassa Mint-päivitystiedostustiedostossa. Taso 1-3 on otettu käyttöön oletusarvoisesti, kun taas tasot 4-5 ovat oletusarvoisesti pois käytöstä. Firefox on taso 2-paketti, joka päivitetään oletuksena. X.org ja Linux-ytimessä ovat tasot 4 ja 5, joten niitä ei päivitetä oletusarvoisesti.
Ota tasot 4 ja 5 käyttöön ja saat samoja päivityksiä Ubuntussa - tulevat Ubuntun omilta päivitystoimistoilta - mutta sinulla on enemmän riskejä "regressioista", jotka aiheuttavat ongelmia.
Todellinen erimielisyys on filosofinen. Ubuntu huomasi, että olet päivittänyt kaikki oletusarvoisesti, poistamalla kaikki mahdolliset tietoturvahaavoittuvuudet - jopa sellaisia, joita ei todennäköisesti hyödynnetä kotikäyttöjärjestelmissä. Linux Mintin virheet ovat sellaisten päivitysten poistamisen puolella, jotka saattavat aiheuttaa ongelmia.
Mikä haluamasi ratkaisu tulee alas, mitä käytät tietokonetta varten ja kuinka mukava olet vaarassa.
