Startpagina » hoe » Ubuntu-ontwikkelaars zeggen dat Linux Mint onveilig is. Zijn ze goed?

    Ubuntu-ontwikkelaars zeggen dat Linux Mint onveilig is. Zijn ze goed?

    Linux Mint is onveilig, volgens een Canonical-employed Ubuntu-ontwikkelaar die zegt dat hij zijn online bankieren niet zou doen op een Linux Mint-pc. De ontwikkelaar beweert dat Linux Mint belangrijke updates "hackt". Is dit een echt probleem of gewoon een angstzoen??

    De betrokken ontwikkelaar van Ubuntu heeft bepaalde feiten verkeerd gedaan en zijn eigen zaak beschadigd, maar er is nog steeds een echt argument om hier te krijgen. Ubuntu en Linux Mint hebben op verschillende manieren met updates te maken en elk heeft zijn eigen compromissen.

    De beschuldigingen van een Ubuntu-ontwikkelaar

    Oliver Grawert, een Canonical-employed Ubuntu-ontwikkelaar, startte de verbale oorlogvoering met dit bericht op de mailinglijst van Ubuntu-ontwikkelaars. Daarin verklaarde hij dat beveiligingsupdates "expliciet zijn gehackt uit Linux Mint voor Xorg, de kernel, Firefox, de bootloader en verschillende andere pakketten".

    Hij zorgde voor een link naar het Mint Update-regelsbestand en stelde dat het "een lijst met pakketten [Mint] zal nooit bijwerken." Dit is onjuist - het bestand doet iets ingewikkelder dan dat, maar daar zullen we later op ingaan. Hij vervolgde: "Ik zou zeggen dat het krachtig houden van een kwetsbare kernelbrowser of xorg in plaats van het toestaan ​​van de geboden beveiligingsupdates tot installateur [sic] het tot een kwetsbaar systeem maakt ... Ik zou er persoonlijk geen internetbankieren mee doen;)".

    Sommige van deze aantijgingen zijn volledig onwaar. Het klopt dat Linux Mint standaard updates blokkeert voor pakketten zoals de X.org grafische server, Linux-kernel en bootloader. Deze updates zijn echter niet "gehackt uit Linux Mint", zoals we later zullen laten zien. Linux Mint blokkeert ook geen updates voor Firefox. Updates voor de Firefox-webbrowser zijn belangrijk voor de beveiliging in de echte wereld en zijn standaard toegestaan, dus de aantijgingen van deze Ubuntu-ontwikkelaar zijn off-point. Er is echter nog steeds een echt argument hier - Linux Mint blokkeert standaard bepaalde soorten beveiligingsupdates.

    Reactie van Linux Mint

    Linux Mint oprichter en hoofdontwikkelaar Clement Lefebvre reageerde op deze beschuldigingen met een blogpost. Daarin wijst hij erop dat de ontwikkelaar van Ubuntu onjuist was over de beschuldigingen die we hierboven hebben uitgelegd. Hij verduidelijkt ook de reden van Linux Mint voor het standaard uitsluiten van updates voor bepaalde pakketten:

    "We hebben in 2007 uitgelegd wat de tekortkomingen waren met de manier waarop Ubuntu hun gebruikers aanbeveelt om blindelings alle beschikbare updates toe te passen. We hebben de problemen in verband met regressies uitgelegd en we hebben een oplossing geïmplementeerd waar we heel blij mee zijn. "

    Firefox wordt automatisch bijgewerkt door Linux Mint, net als door Ubuntu. Beide distributies gebruiken in feite hetzelfde pakket dat afkomstig is van dezelfde repository.

    Het belangrijkste argument van Linux Mint is dat "blindelings" pakketten updaten zoals de grafische server van X.org, de bootloader en de Linux-kernel problemen kunnen veroorzaken. Updates van deze low-level pakketten kunnen bugs introduceren op sommige soorten hardware, terwijl de beveiligingsproblemen die ze oplossen geen echt probleem vormen voor mensen die Linux Mint terloops thuis gebruiken. Veel beveiligingsfouten in de Linux-kernel zijn bijvoorbeeld "local privilege escalation" -kwetsbaarheden. Mogelijk kunnen gebruikers met beperkte toegang tot de computer de rootgebruiker worden en volledige toegang krijgen, maar ze kunnen niet gemakkelijk worden geëxploiteerd vanuit een webbrowser, zoals een typisch beveiligingsprobleem op Java..

    Is dit eigenlijk een probleem?

    Beide partijen hebben goede argumenten. Aan de ene kant is het absoluut waar dat Linux Mint standaard beveiligingsupdates voor bepaalde pakketten uitschakelt. Dit laat een Mint-systeem met meer bekende beveiligingskwetsbaarheden, die theoretisch zou kunnen worden geëxploiteerd.

    Aan de andere kant is het waar dat deze beveiligingskwetsbaarheden niet actief worden benut. Linux Mint werkt software bij die daadwerkelijk wordt aangevallen, zoals webbrowsers. Het is ook waar dat updates van X.org in het verleden problemen hebben veroorzaakt. In 2006 verbrak een Ubuntu-update de X-server van veel Ubuntu-gebruikers die het hadden geïnstalleerd, waardoor ze naar de Linux-terminal werden gedwongen. Getroffen gebruikers moesten hun systemen vanaf de terminal repareren. Het beleid van Linux Mint over updates is pas een jaar later in 2007 beschreven, dus het is waarschijnlijk dat deze aflevering van invloed was op de huidige opstelling van Linux Mint.

    Als je een thuis desktop-gebruiker bent, zul je waarschijnlijk niet in gevaar worden gebracht vanwege een fout in de Linux-kernel. Natuurlijk, als u een server uitvoert die is blootgesteld aan het internet of een zakelijk werkstation gebruikt waar u de toegang tot wilt beperken, moet u ervoor zorgen dat alle mogelijke beveiligingsupdates zijn geïnstalleerd.

    Beheer van beveiligingsupdates in Linux Mint

    Elke Linux Mint-gebruiker die liever alle beveiligingsupdates heeft die Ubuntu-gebruikers krijgen, kan deze inschakelen vanuit Mint's Update Manager. Deze updates worden niet 'gehackt', maar zijn standaard alleen uitgeschakeld.

    Om deze instelling te beheren, opent u de Update Manager-applicatie vanuit het menu van uw bureaubladomgeving. Klik op het menu Bewerken en selecteer Voorkeuren. U kunt dan de "niveaus" van pakketten kiezen die u wilt installeren. "Niveaus" worden gedefinieerd in het Mint update rules-bestand dat we eerder noemden. Niveaus 1-3 zijn standaard ingeschakeld, terwijl niveaus 4-5 standaard zijn uitgeschakeld. Firefox is een niveau 2-pakket dat standaard wordt bijgewerkt. X.org en de Linux-kernel zijn niveaus 4 en 5, dus ze zijn standaard niet bijgewerkt.

    Schakel niveau 4 en 5 in en je krijgt dezelfde updates als in Ubuntu - afkomstig van Ubuntu's eigen update-repository's - maar je loopt meer risico op "regressies" die problemen introduceren.


    Het echte meningsverschil hier is een filosofische. Ubuntu vindt het fout om alles standaard bij te werken, waardoor alle mogelijke beveiligingskwetsbaarheden worden geëlimineerd - zelfs die waarvan het onwaarschijnlijk is dat ze op thuisgebruikerssystemen worden misbruikt. Linux Mint fout aan de kant van het uitsluiten van updates die mogelijk problemen kunnen veroorzaken.

    Welke oplossing de voorkeur heeft, komt neer op waarvoor u uw computer gebruikt en hoe comfortabel u bent met de risico's.