מפתחים אובונטו אומרים לינוקס מנטה הוא לא מאובטח. האם הם צודקים?
לינוקס מנטה הוא חסר ביטחון, על פי מפתח אובונטו קנוניקל, אשר אומר שהוא לא יעשה את הבנקאות המקוונת שלו על לינוקס Mint PC. היזם טוען כי לינוקס מנטה "פריצות החוצה" עדכונים חשובים. האם זו בעיה אמיתית או סתם הפחד?
מפתח אובונטו מעורב קיבל עובדות מסוימות לא בסדר פגום במקרה שלו, אבל יש עדיין ויכוח אמיתי להיות כאן. אובונטו ולינוקס מינט מתמודדות עם עדכונים בדרכים שונות, ולכל אחת מהן יש מסחר משלה.
טענות של מפתחי אובונטו
אוליבר גראברט, מפתח פיתוח של אובונטו קנוניקל, התחיל את הלחימה המילולית עם ההודעה הזאת ברשימת התפוצה של מפתחי אובונטו. בהודעה, הוא ציין כי עדכוני אבטחה "מפורצים במפורש מתוך לינוקס מנטה עבור Xorg, הקרנל, פיירפוקס, bootloader ועוד חבילות שונות".
הוא סיפק קישור לקובץ הכללים לעדכון מנטה, וציין כי הוא "רשימת חבילות [Mint] לעולם לא תתעדכן". זה לא נכון - הקובץ עושה משהו מסובך יותר מזה, אבל אנחנו נלך לזה מאוחר יותר. הוא המשיך: "הייתי אומר בתוקף לשמור על דפדפן ליבה פגיע או xorg במקום במקום לאפשר את עדכוני האבטחה המסופקים להיות מתקין [כך] עושה את זה מערכת פגיע ... אני אישית לא הייתי עושה בנקאות מקוונת עם זה;)".
חלק מהטענות אלה אינן נכונות לחלוטין. נכון ש- Linux Mint חוסמת עדכונים לחבילות כגון השרת הגרפי של X.org, ליבת Linux ו- Bootleoader כברירת מחדל. עם זאת, עדכונים אלה אינם "פרוצים מתוך לינוקס מנטה", כפי שנראה בהמשך. לינוקס מנטה גם לא לחסום עדכונים ל- Firefox. עדכונים לדפדפן האינטרנט פיירפוקס חשובים עבור אבטחה בעולם האמיתי, והם מותרים כברירת מחדל, כך שההאשמות של מפתחי אובונטו אינן מקובלות. עם זאת, יש עדיין ויכוח אמיתי כאן - לינוקס מנטה לחסום סוגים מסוימים של עדכוני אבטחה כברירת מחדל.
תגובת מינט לינוקס
לינט מינט מייסד ומפתח מפתח קלמנט לפבר הגיב האשמות אלה עם פוסט בבלוג. בה הוא מציין שמפתחי אובונטו לא נכונים לגבי הטענות שהוסברנו לעיל. הוא גם מבהיר את הסיבה של לינוקס מנטה לאי הכללת עדכונים לחבילות מסוימות כברירת מחדל:
"הסברנו בשנת 2007 מה החסרונות היו עם הדרך שבה אובונטו ממליצה למשתמשים שלהם ליישם באופן עיוור את כל העדכונים הזמינים. הסברנו את הבעיות הקשורות ברגרסיות ויישמנו פתרון שאנחנו מאוד מרוצים ממנו ".
פיירפוקס מתעדכן אוטומטית על ידי לינוקס מנטה, בדיוק כמו על ידי אובונטו. למעשה, שתי ההפצות משתמשות באותה אריזה שמגיעה מאותו מאגר.
הטיעון העיקרי של לינוקס מינט הוא ש"עדכון "של עדכון חבילות כמו השרת הגרפי של X.org, מנהל האתחול והקרנל של Linux עלול לגרום לבעיות. עדכונים אלה חבילות ברמה נמוכה יכול להציג באגים על כמה סוגים של חומרה, בעוד בעיות אבטחה שהם לפתור הם לא ממש בעיה עבור אנשים המשתמשים לינוקס מנטה כבדרך אגב בבית. לדוגמה, פגמים רבים במערכת הליבה של לינוקס הם פגיעות של "הרשאה מקומית". הם עשויים לאפשר למשתמשים בעלי גישה מוגבלת למחשב להפוך למשתמש הבסיס ולהשיג גישה מלאה, אך לא ניתן לנצל אותם בקלות מדפדפן אינטרנט כמו בעיית אבטחה טיפוסית ב- Java.
האם זו באמת בעיה?
לשני הצדדים יש טיעונים טובים. מצד אחד, זה נכון לחלוטין כי לינוקס מנטה היא השבתת עדכוני אבטחה עבור חבילות מסוימות כברירת מחדל. זה משאיר מערכת מנטה עם פגיעויות אבטחה ידוע יותר, אשר יכול תיאורטית להיות מנוצל.
מצד שני, נכון שפגיעות אבטחה אלה אינן מנוצלות באופן פעיל. לינוקס מנטה עושה עדכון תוכנה זה תחת התקפה בפועל, כמו דפדפני אינטרנט. נכון גם שהעדכונים ל- X.org גרמו לבעיות בעבר. ב -2006, עדכון של אובונטו שבר את שרת ה- X של משתמשי אובונטו רבים שתקנו אותו, ואילצו אותם אל מסוף לינוקס. משתמשים מושפעים נאלצו לתקן את המערכות שלהם מהמסוף. המדיניות של לינוקס מינט על עדכונים פורסמה רק שנה מאוחר יותר ב -2007, ולכן סביר להניח שהפרשה זו השפיעה על העמדה הנוכחית של לינוקס מינט.
אם אתה משתמש שולחן עבודה ביתי, אתה כנראה לא יהיה בסכנה בגלל פגם בליבת לינוקס. כמובן, אם אתה מפעיל שרת שנחשף לאינטרנט או מפעיל תחנת עבודה עסקית שברצונך להגביל את הגישה אליה, עליך לוודא שכל עדכוני האבטחה האפשריים מותקנים.
שליטה על עדכוני אבטחה ב - Mint לינוקס
כל משתמש לינוקס מנטה, אשר מעדיף לקבל את כל עדכוני האבטחה המשתמשים Ubuntu לקבל יכול לאפשר אותם מתוך מנהל העדכון של מנטה. עדכונים אלה אינם "נפרצים", אך הם פשוט מושבתים כברירת מחדל.
כדי לשלוט בהגדרה זו, פתח את היישום Update Manager מתפריט סביבת שולחן העבודה שלך. לחץ על התפריט עריכה ובחר העדפות. לאחר מכן תוכל לבחור את "רמות" של חבילות אתה רוצה להתקין. "רמות" מוגדרות בקובץ כללי העדכון מנטה שהזכרנו קודם לכן. רמות 1-3 מופעלות כברירת מחדל, בעוד רמות 4-5 מושבתות כברירת מחדל. Firefox היא חבילת רמה 2, המתעדכנת כברירת מחדל. X.org וקרנל לינוקס הם רמות 4 ו -5, בהתאמה, ולכן הם לא מעודכנים כברירת מחדל.
אפשר רמות 4 ו- 5 ותקבל את אותם העדכונים שתגיע לאובונטו - מגיע ממאגרי העדכון הפרטי של אובונטו - אבל אתה תהיה בסיכון גבוה יותר ל"רגרסיות "שיכניסו בעיות.
המחלוקת האמיתית כאן היא פילוסופית. אובונטו טועה בצד של עדכון הכל כברירת מחדל, ומבטל את כל נקודות התורפה האפשריות לאבטחה - גם כאלה שלא צפויות להיות מנוצלות במערכות משתמש ביתיות. לינוקס Mint שגיאות בצד של למעט עדכונים שעלולים לגרום לבעיות.
איזה פתרון אתה מעדיף יגיע מה אתה משתמש במחשב שלך וכמה נוח אתה עם הסיכונים.