Canonical に雇用されている Ubuntu 開発者によると、Linux Mint は安全ではありません。オンライン バンキングは Linux Mint PC ではやりたくないそうです。開発者は、Linux Mint が重要なアップデートを「ハッキング」していると主張している。これは本当に問題なのでしょうか、それとも単に恐怖を煽っているのでしょうか?
関与した Ubuntu 開発者は特定の事実を誤解し、自身の訴訟に損害を与えましたが、ここではまだ本当の議論が必要です。 異なる方法でアップデートを処理し、それぞれに独自のトレードオフがあります。
Ubuntu開発者の主張
Canonical に雇用されている Ubuntu 開発者である Oliver Grawert は、Ubuntu 開発者メーリング リストで このメッセージ を使って舌戦を開始しました。その中で同氏は、セキュリティアップデートは「Xorg、カーネル、Firefox、ブートローダー、その他さまざまなパッケージのLinux Mintから明示的にハッキングされている」と述べた。
同氏は、 Mint Update ルール ファイル へのリンクを提供し、これは「[Mint] が決して更新しないパッケージのリストである」と述べました。これは誤りです。ファイルはそれよりも複雑なことを行っていますが、これについては後ほど説明します。彼はさらにこう続けた。「提供されたセキュリティ アップデートをインストーラーとして許可する代わりに、脆弱なカーネル ブラウザや xorg を強制的にそのままにしておくのは、脆弱なシステムになると思います…個人的には、それでオンライン バンキングはやりたくないです。 )」。
これらの主張の中には完全に虚偽のものもあります。 Linux Mint がデフォルトで X.org グラフィカル サーバー、Linux カーネル、ブートローダーなどのパッケージの更新をブロックしているのは事実です。ただし、後で説明するように、これらのアップデートは「Linux Mint からハッキングされた」ものではありません。 Linux Mint は Firefox へのアップデートもブロックしません。 Firefox Web ブラウザの更新は現実世界のセキュリティにとって重要であり、デフォルトで許可されているため、この Ubuntu 開発者の主張は的外れです。ただし、ここにはまだ本当の議論があります。Linux Mint はデフォルトで特定の種類のセキュリティ更新をブロックします。
Linux Mintの対応
Linux Mint の創設者で主任開発者の Clement Lefebvre は、これらの告発に対して ブログ投稿 で返答しました。その中で彼は、上で説明した疑惑についてUbuntu開発者が間違っていたと指摘している。彼はまた、Linux Mint が特定のパッケージの更新をデフォルトで除外する理由を明らかにしました。
「私たちは 2007 年に、利用可能なすべてのアップデートを盲目的に適用することをユーザーに推奨する Ubuntu の方法にどのような欠点があるのかを説明しました。回帰に関連する問題についても説明し、非常に満足するソリューションを実装しました。」
Firefox は、Ubuntu と同様に、Linux Mint によって自動的に更新されます。実際、両方のディストリビューションは、同じリポジトリからの同じパッケージを使用しています。
Linux Mint の主な主張は、X.org グラフィカル サーバー、ブートローダー、Linux カーネルなどのパッケージを「盲目的に」更新すると問題が発生する可能性があるということです。これらの低レベルのパッケージを更新すると、一部の種類のハードウェアにバグが発生する可能性がありますが、自宅で Linux Mint を何気なく使用している人にとって、それらによって解決されるセキュリティ問題は実際には問題ではありません。たとえば、Linux カーネルのセキュリティ上の欠陥の多くは、「ローカル権限昇格」の脆弱性です。これらにより、コンピュータへのアクセスが制限されているユーザーが root ユーザーになって完全なアクセス権を取得できる可能性がありますが、 のように、Web ブラウザから簡単に悪用されることはありません。
これは実際に問題があるのでしょうか?
どちらの側にも良い議論がある。一方で、Linux Mint が特定のパッケージのセキュリティ更新をデフォルトで無効にしていることは完全に真実です。これにより、Mint システムには既知のセキュリティ上の脆弱性が残り、理論的には悪用される可能性があります。
一方で、これらのセキュリティ脆弱性が積極的に悪用されていないのも事実です。 Linux Mint は、Web ブラウザなど、実際に攻撃を受けているソフトウェアを更新します。過去に X.org のアップデートによって問題が発生したことも事実です。 2006 年、Ubuntu のアップデートにより、Ubuntu をインストールした多くの Ubuntu ユーザーの X サーバーが破壊され、ユーザーは Linux ターミナルに強制的にアクセスされました。影響を受けたユーザーは端末からシステムを修復する必要があった。 Linux Mint のアップデートに関するポリシーは、そのわずか 1 年後の 2007 年に明確にされたため、このエピソードが Linux Mint の現在のスタンスに影響を与えた可能性があります。
あなたがホームデスクトップユーザーであれば、Linux カーネルの欠陥によって危険にさらされることはおそらくないでしょう。もちろん、インターネットに公開されているサーバーを実行している場合、またはアクセスを制限したいビジネス ワークステーションを運用している場合は、考えられるすべてのセキュリティ更新プログラムがインストールされていることを確認する必要があります。
Linux Mint でのセキュリティ更新の制御
Ubuntu ユーザーが入手できるすべてのセキュリティ アップデートを入手したい Linux Mint ユーザーは、Mint のアップデート マネージャー内からそれらを有効にすることができます。これらのアップデートは「ハッキング」されているわけではなく、デフォルトで無効になっているだけです。
この設定を制御するには、デスクトップ環境のメニューから Update Manager アプリケーションを開きます。 「編集」メニューをクリックし、「環境設定」を選択します。その後、インストールするパッケージの「レベル」を選択できるようになります。 「レベル」は、前述した Mint 更新ルール ファイルで定義されます。レベル 1 ~ 3 はデフォルトで有効になっており、レベル 4 ~ 5 はデフォルトで無効になっています。 Firefox はレベル 2 パッケージであり、デフォルトで更新されます。 X.org と Linux カーネルはそれぞれレベル 4 と 5 であるため、デフォルトでは更新されません。
レベル 4 と 5 を有効にすると、Ubuntu と同じアップデート (Ubuntu 独自のアップデート リポジトリから提供される) を入手できますが、問題を引き起こす「リグレッション」のリスクが高くなります。
ここでの本当の意見の相違は哲学的なものです。 Ubuntu は、デフォルトですべてを更新し、ホーム ユーザー システムで悪用される可能性が低いものであっても、考えられるすべてのセキュリティ脆弱性を排除するという点で誤りを犯しています。 Linux Mint は、問題を引き起こす可能性のあるアップデートを除外するという点で誤りを犯しています。
どのソリューションを好むかは、結局のところ、コンピュータを何に使用するか、そしてリスクをどの程度許容できるかによって決まります。
