Biztonsági szempontból kockázatos lehet a Linux Mint - véli Oliver Grawert, Ubuntu fejlesztő. A vélemény az Ubuntuhoz kapcsolódó fejlesztési kérdések megvitatására szolgáló ubuntu-devel-discuss levelezőlistán jelent meg, nagy nyilvánosságot azonban akkor kapott, amikor a hír megjelent a rendkívül népszerű OMG! Ubuntu! blogon.
A vélemény alapja a Linux Mint frissítési politikája, amely alapbeállítások mellett bizonyos, kritikus jelentőségű Kernelt és Xorg grafikus kiszolgálót érintő biztonsági frissítéseket visszatart, nehogy azok esetleg valamilyen regressziót idézzenek elő a rendszerben. A felvetésre a Linux Mint fejlesztését vezető Clement Lefebvre is reagált, aki elismerte, hogy alapbeállítások mellett valóban visszatartják ezeket a frissítéseket, azonban hangsúlyozta, hogy erre jó okuk van. Szerinte ezek a frissítések időnként teljesítménybeli és stabilitási problémákat okoznak. Clement Lefebvre azt is kiemelte bejegyzésében, hogy a beállítások módosításával ezeket a frissítéseket bárki elérheti, aki szeretné.
Mások azonban úgy vélik, hogy ez nem elegendő: Benjamin Kerensa, korábbi Ubuntu tag, jelenleg Mozilla hozzájáruló úgy véli, hogy a biztonsági frissítésekkel járó kockázatok nem olyan súlyosak, mint ahogy Clem beállítja, és fontosabb lenne, hogy azok minden felhasználóhoz eljussanak, hiszen egy ismert biztonsági sebezhetőségeket tartalmazó rendszer nagyobb kockázatot jelent.
Nektek mi a véleményetek? Ti mernétek online bankolásra használni egy olyan rendszert, amelyben ismert és javítatlan sebezhetőségek vannak?
Forrás:
OMG! Ubuntu!: Canonical Dev Calls Linux Mint ‘Vulnerable’, Wouldn’t Use it For Online Banking
OMG! Ubuntu!: Linux Mint Respond to Ubuntu Developer’s ‘Vulnerable’ Claim
Hozzászólások
Igaza van, mostanában az Ubuntu eléggé alul teljesít, főleg, ami az LTS verziókat illeti. Egyik frissítési hullám szétbarmol egy csomó mindent és a következő megjavítja, de mást meg elront. Végeláthatatlan körök.
Nem tudom mióta az Ubuntu a kockázatos?
Még mindig a Mintről volt szó.
A Mintről van szó, de az nagymértékben az Ubuntura épül. Tudtommal különbség csak az asztali környezetben és néhány programban van.
-
Itt arrol van szo, hogy a Mint frissiteskor alapertelmezetten nem rak fel minden Ubuntuhoz mar kiadott frissitest.
Tehat az Ubuntu olyan amilyen, de a Mint rosszabb. (biztonsagi szempontbol)(alapertelmezett beallitasokkal)
Szerintem az összes jelenlegi desktop operációs rendszer alkalmatlan arra, amire használjuk. Egyszerűen az igényeink gyorsabban mentek előre, mint a technológia fejlődése. A jelenlegi architektúrákkal nem lehet biztonságos platformot építeni. Bármi lehet biztonsági kockázat. És az átlagember nem is érti, hogy mi a probléma.
Nem kell a kernelnek kompromittálódni ahhoz, hogy phishing jellegű támadás áldozatává váljunk. Elegendő, ha a user jogaival felteszünk egy másik ikont a firefox helyére, ami egy "megpatkolt" firefoxot indít. Ezt pedig bármelyik program meg tudja tenni, amit user jogokkal futtatunk. Ebből az következik, hogy a teljes repóban található szoftver vertikumot biztonság szempontjából validálni kell ahhoz, hogy egy disztró biztonságosnak legyen mondható. Ennek fényében a kernelfrissítés sebességén vitatkozni szerintem hülyeség.
noexec minden olyan partícióra, ahova a usernek van írási joga?
BlackY
:)
?
A Windows-nál szokásos "user mindenhova kattint és mindent letölt" típusú programok ellen véd, repókat nem tud felvinni, mert ugyebár csak user, az pedig, hogy a gyári repókban megbízunk-e, hogy nem tartalmaznak malware-t már egy egész más kérdéskör (és mivel Ubuntu-hater vagyunk nem tehetem meg, hogy kihagyjam: igen, az uborka a telepítő CD-n is spyware-t szállít [tudom, van opt-out, na de akkor is]).
BlackY
Nem érdemes hasonlítani semmihez sem, amíg nem tudható, hogy milyen biztonsági résekről van szó.
Én egyébként azért nem használom egyiket sem, mert egyik sem fut el a laptopomon. Így nem tudok személyes tapasztalatokat sem megosztani róluk.
Soha semmi ellen nem lehet védekezni tökéletesen. Persze minden fejlesztő, rendszergazda igyekszik konvergálni a zéró felé a hibákat.
No, ennyit a közhelyekről.
Vannak olyan OS-ek, amik szándékosan(???) lassúak(???) a kiadási ütemet illetően. Ott van pl. CentOS. Két kérdés merül fel bennem ezzel kapcsolatban, vagy lassúak, vagy szarrá tesztelik a hivatalos repoikból elérhető csomagokat, nem tudom, de inkább hajlok az utóbbira.
Ettől elvonatkoztatva az "fő" asztali gépemen LTS Kubuntu fut, de használok bőven ppa repokat is.
Szervereken csakis a disztribútor által kiadott csomagokat használok/használunk.
Úgy vélem, hogy itt inkább a Mint nagyobb népszerűsége van a háttérben, természetesen az Ubuntu rovására.
Ahhoz képest, hogy a Canonical lassan 10 éve görcsöl a disztribúciójával, a Mint gyorsabban, látványosabban, és használhatóbban kínálja rendszerét, azonos alapokon. Ha nem nyílt forráskódú rendszerekről beszélnénk, a Canonical már rég levédette volna a fejlesztéseit, megölve ezzel a sok forkot.
Mondjuk 100 forkból 99 értelmetlen.
--
robyboy
"Gondolkozni nehéz, ezért legtöbben ítélnek." - Márai Sándor
A fene tudja, hogy 99%-ban értelmetlenek-e a forkok. A szabad szoftver világában a felhasználók száma dönt.
+1 Akkor most az Ubuntu is csak egy Debian fork, ha úgy tetszik. Nem? Részemről mindhárom (Debian,Ubuntu,Mint) próbáltam, használtam huzamosabban. Saját nézőpontom szerint! a Mint egy picit jobb volt. Stabilabb gyorsabb. Kisebb,gyengébb gépen inkább Debian+valamilyen lightweight DE. Akkor most a Debian is rosszabb, mert nem annyira frissek benne a csomagok? Használtam Arch disztrót is. Ott frissek voltak, de nekem nem volt rá annyira szükségem... De újból mondom, ez csak saját magánvélemény.
A Debian késve, de stabil programokat dob ki. Nem csapja össze, hónapokat, éveket képesek eltökölni valamin. Pont ez miatt jó.
A Manjaro is Arch fork, én nagyon megvagyok elégedve vele. Pacman, packer csomagkezelővel könnyen ehet boldogulni. Régebbi gépekre érdemes lehet kipróbálni, saját tapasztalat.
Köszi. Ha időm lesz, ez lesz a következő teszt-disztróm.
Na igen, szerintem ha lenne 1 disztrib, alatta egy stabil API és a fejlesztők sem a 800. értelemetlen forkba fektetnék az energiáikat talán haladna is előre a linux szekere (desktop szinten).
Ha így is lenne és csak egy népszerű disztró lenne, bizonyára akkor is rögtön jönne valaki, aki forkolná azt és meglenne az a tábor, akik a népszerű disztrót szidják, ne aggódj. Minimum azért, hogy beszéljenek róluk. Megváltozik a háttér és rögtön ugranak flamelni. Bármi is történik, nagy csinnadrattával bejelenti, hogy milyen szar valami. A Twittert pont az ilyeneknek találták ki. Sír, hogy nem oldják meg a csilliomodik bugot X disztrónál (de annál sem, amire váltani készül), mintha minden bugra jutna 5 fejlesztő és minden szoftvert a disztribútor fejlesztene, aztán néha azzal jön, hogy bezzeg a világ legnagyobb szoftveróriásainál, több százmilliós felhasználó- és óriási tesztelőtáborral, ahol részben visszaforgatják a profitot, mert van olyan („de hát az X disztró mögött egy milliárdos áll, há' fizesse ki a saját pézibűl, hogy nekem jó legyen, meg amúgy is annyi haszna lehet a disztrón, hogy csak na, de még a shipitet is megszüntette az álnok!”), na azok aztán hibátlanok. Meg aztán ott vannak a „vallási fanatikusok”, akik azért utálnak valamit, mert az az első a statisztikában, nem a kis kedvencük és ez valamiért fájdalmat okoz a kis torz lelküknek, úgyhogy muszáj lehúzni a másikat, blogokat meg álhírportálokat kell indítani, közösséget kell szervezni a szervezett közös gyűlölködések megtartásához. :)
Na most ezt visszaolvasva úgy hangzik, mint ha nem lennék normális, úgyhogy felkelek végre és megyek reggelizni. :D
--
Ingyenes Ubuntu One tárhely:
https://one.ubuntu.com/referrals/referee/170278/
Sok szerver linux disztribúció van, ez mégsem akadályozza az előrejutásban.
Már vártam, hogy az ubuntu.hu-ról mikor kopizza ide valaki a bulvárt.
Dögöljön meg a szomszéd tehene is.
Hányan merészelnek online bankolásra használni frissítetlen Windows XP rendszereket? :-)
A Mint upgradekor legalább garantáltan lenyomja a rootkiteket.
Ezen a cikken és a hozzászólásokon felbuzdulva frissítettem tegnap Linux Mint 15 Cinnamon rendszeremet Synapticcal (hogy az új kernel is települjön). Újraindítás után nem jutott el a bejelentkező képernyőig, csak egy kerek folyamatjelző pörgött körbe-körbe. Ha jól emlékszem, a 3.8.0-32. kernelverzió volt a legújabb.
Úgy látszik a Mintes fiúk mégsem ok nélkül tiltják le alapból a kernel frissítését.
Régebbi verzióknál is végeztem néha ilyen frissítést, azoknál is előfordult, hogy nem ment végig az indítási folyamat vagy valami nem működött (hang vagy videólejátszás, nem emlékszem pontosan).
"Úgy látszik a Mintes fiúk mégsem ok nélkül tiltják le alapból a kernel frissítését."
Esetleg nincs idejük/energiájuk tesztelni az új kernelverzióval.
--
Ingyenes Ubuntu One tárhely:
https://one.ubuntu.com/referrals/referee/170278/
sikerült valakinek kideritenie, hogy milyen jellegű frissitésekről van szó és meddig tartják vissza? pl. Firefox érintett? első ránézésre lejáratókampány szaga van az egésznek, bár a teljes részleteket nem ismerem.
a bankolással kapcsolatban: ismerek olyat, aki mai napig IE6-al bankingol és még sohasem törték fel az IB-jét. Ez persze nagyon rossz példa, de mekkora mégis az esélye (komolyan kérdem), hogy amiatt törjék fel az ember IB accountját (ami általában biztonságos rendszeren alapszik) mert 2 hetes a kernel a gépen?
Bár magam is azok közé tartozom akiknek az Ubi nem a szíve csücske, de azért én alapvetően örülök neki hogy létezik az a disztró, mert kell egy efféle "kulcsrakész" is az épp kezdő linuxosoknak.
Ennek ellenére, itt most megint szídnom kell, mert ez egy ordasnagy csalódás a részemről, hogy efféle, a Microsoft módszereit idéző fikázásba kezdtek a Mint ellen.
Bevallom: sosem használtam Mint-et még. De Ubit már igen, s nem is egy alkalommal leírtam itt ilyen meg olyan más témák kapcsán érintőlegesen, hogy épp amiatt szakítottam vele jelentős részben (bár nem kizárólag csak amiatt) mert állandóan frissítgetett nekem a nyomorult, s nem is egyszer emiatt elcseszett valamit a nagy nehezen kiizzadt egyéni beállításaimból! Például billentyűzetbeállításokat. Konkrétan, például ezek valamiért azt hiszik, az mc az ürdüngtől van, nincs alapból telepítve. Oké, telepítem. Indítom. Fut. Ki akarok lépni - ja, az F10, az egy olyan billentyű amit ők lefoglaltak maguknak! A probléma persze többféleképp is megkerülhető, de nekem kell az F10 mert maradi ember vagyok, felteszek valami compiz-settings-manager programot (bocs ha nem jól írtam a nevét). Eleve furcsa hogy a compiznak van 10 millió beállítási lehetősége, ezek közül egy rakáshoz van is default billentyűkombó, de ezek alapból spéci program nélkül nem mindig módosíthatók az Ubiban!
Na mindegy felteszem, fél óra míg a 26-odik almenü mélységében meglelem az F10-et. Kigyilkolom. Minden oké.
2 nappal később frissítés. Restart. Minden működik. KIVÉVE AZ ÖSSZES BILLENTYŰHOZZÁRENDELÉSEMET!
Ezt nem lehet nem kiabálva mondani...
Egy részét vissza tudom csinálni. Azt a nyomorult F10-et nem, pedig szinte az nekem a legfontosabb. Hiába indítom a Compiz-settings-managert vagy mit, elindul az nem gond, de az F10 már nincs benne! Ő nem tud arról, hogy arra a billentyűre bármi is lenne kötve. Holott RÁ VAN KÖTVE, mert ha megnyomom az a funkció működik, és nem az mc érzékeli, hogy ki akarok lépni e gombbal belőle!
Na nekem ilyesmi nem kell. Mesélhetik hogy mekkora húdeszörnyű biztonsági kockázat frissítés nélkül élnem, inkább azt választom mint hogy ilyesmikkel szivassanak 2-3 hetente.
Azaz szerintem a Mintnek ebben teljesen igaza van.
Alig várom hogy megjöjjön a zsír-új 64 bites gépem december elején, soha életemben nem vártam még így semmit, hülyének nézhettek, de még azt se vártam soha így amennyire emlékszem, még fiatal koromban, hogy életemben először legyek nővel! (Lehet hogy tényleg kocka vagyok?!) Ez lesz életem első olyan számítógépe különben aminek én leszek az első gazdája...
Na és akkor elkezdem rá összetákolni a gobót from scratch. Az utóbbi időben alaposan tanulmányoztam az Xorg telepítését is a BLFS-ből, remélem most majd összejön az is. Ha sikerül, 1-2 évente megismétlem a procedúrát, annyi nekem elég a frissítésekből. Nem kell ezt túlmisztifikálni. Szerintem messze nagyobb az esélye annak hogy betörnek a szobámba és ellopják a gépemet, mint hogy valami biztonsági résen át lopják el a jelszavamat vagy ilyesmi.
Csodálatos szellemi kaland lesz, tényleg alig várom! Már letöltögettem előre az összes forrást az LFS és BLFS linkjei alapján. Sajnos, pár speciális linuxfromscratch-patch 404-et jelzett, ennek nem tudom mi lehet az oka... Nem, nem érzem szopásnak az LFS-t. Izgalmas intellektuális kaland inkább!
Egyvalami zavar. Uzsolt azt javasoltam, miután lesz 16 GB RAM-om, csináljak egy ramdisket, s azon menjen a disztrócsinálás, mert úgy gyorsabb. Ez rendben is van, okos gondolat, megfogadom a tanácsát (persze, mindigis tudtam hogy ő okos gyermök, elhiszem hogy jó dolgokat mond, sőt azt se kétlem hogy tapasztaltabb nálam Linux terén, s nem is kicsivel). Hanem, a BLFS azt írja, a LibreOffice lefordításához kell ha jól emlékszem majdnem 8 giga! Emellé ugye hozzájön majd lealább 3 giga amit addig felrakok a rendszerbe. Azaz épp azt ami a leghosszabban fordulna, nem hiszem hogy megoldhatom majd ramdisken. Mert azért 4 gigát illik meghagyni a fő rendszerem ramjának...
Huh, ez a végére eléggé off lett, elnézést.
-------------
Honlapom: http://parancssor.info
Könyvem a VIM-ről
=== Sabayon disztró, DWM ablakkezelő ===
Érdekességként a Manjaro linuxnál folyamatosan van frissítés és nem nagy frissítéseket dobnak ki. De még ennél sem tudom, hogyan lehet megoldani azt, hogy csak azokat a frissítéseket rakja fel, amiket csak én akarom.