it-swarm.dev

Jsou PPA bezpečné přidat do mého systému a na jaké „červené vlajky“ je třeba dávat pozor?

Vidím tam spoustu zajímavých programů, které lze získat pouze přidáním „PPA“ do systému, ale pokud chápu správně, měli bychom zůstat v oficiálních „repozitářích“ pro přidávání softwaru do našeho systému.

Existuje nějaký způsob, jak nováček vědět, zda je „PPA“ bezpečný, nebo zda by se mu mělo zabránit? Jaké tipy by měl uživatel vědět při jednání s PPA?.

309
Rob

PPA ( Personal Package Archive ) se používá k zahrnutí konkrétního softwaru do vašeho Ubuntu, Kubuntu nebo jiného distro kompatibilního s PPA. " bezpečnost" PPA závisí většinou na 3 věcech:

  1. Kdo vytvořil PPA - Oficiální PPA od WINE nebo LibreOffice jako ppa: libreoffice/ppa a PPA, které jsem vytvořil, nejsou stejné. Neznáš mě jako správce PPA, takže problém důvěry a bezpečnost je pro mě VELMI nízká (Protože jsem mohl udělat poškozený balíček, nekompatibilní balíček nebo cokoli jiného špatného), ale pro LibreOffice a PPA, které nabízejí na svých webových stránkách , To jí dává jistou bezpečnostní síť. Takže v závislosti na tom, kdo udělal PPA, jak dlouho on nebo ona dělá a udržování PPA bude mít vliv trochu na to, jak bezpečné PPA je pro vás. Smlouvy o prodeji uvedené výše v komentářích nejsou společností Canonical certifikovány.

  2. Kolik uživatelů použilo PPA - Například mám PPA od http://winehq.org ve svém osobním PPA. Věřili byste ME s 10 uživateli, kteří potvrdili, že používají můj PPA a že 6 z nich říká, že je to na hovno, než tomu, které nabízí Scott Ritchie jako ppa: ubuntu-wine/ppa na oficiálních webových stránkách winehq. Má tisíce uživatelů (včetně mě), kteří používají jeho PPA a důvěřují jeho práci. Toto je práce, která má za sebou několik let.

  3. Jak aktualizovaný PPA je - Řekněme, že používáte Ubuntu 10.04 nebo 10.10 a chcete použít speciální PPA. Zjistíte, že poslední aktualizace PPA byla před 20 lety .. O.o. Šance, že máte při používání této smlouvy PPA, jsou nulové. Proč?. Protože závislosti balíčků, které PPA potřebuje, jsou velmi staré a možná i ty aktualizované mění tolik kódů, že nebudou fungovat s PPA a pokud je nainstalujete některý z balíčků této PPA do vašeho systému, možná přestanou fungovat.

    Jak aktualizovaná PPA ovlivňuje rozhodnutí použít ji, pokud chce použít tuto PPA. Pokud ne, raději by hledali další aktuální. Nechcete, aby Banshee 0.1 nebo Wine 0.0.0.1 nebo OpenOffice 0.1 Beta Alpha Omega Thundercat Edition s nejnovějším Ubuntu. Co chcete, je PPA, která je aktualizována na aktuální Ubuntu. Nezapomeňte, že PPA uvádí, k čemu je verze Ubuntu určena nebo pro které bylo vytvořeno více verzí Ubuntu.

    Příkladem je zde obrázek verzí, které jsou podporovány ve víně PPA:

    enter image description here

    Zde vidíte, že tato PPA je podporována od dinosaurů.

    Jedna věc BAD o tom, jak aktualizovaný PPA je, pokud má správce PPA tendenci tlačit do PPA nejnovější, největší a řeznou Edge verzi konkrétního balíčku. Nevýhodou je, že pokud se chystáte otestovat něco nejnovějšího, najdete nějaké chyby. Zkuste se držet PPA, které jsou aktualizovány na stabilní verzi a nejsou nestabilní, testovací nebo dev verze, protože to může/bude obsahovat chyby. Myšlenka mít nejnovější je také TEST a říci, jaké problémy byly nalezeny a řešit je. Příkladem toho jsou denní PPA Xorg a Denní PPA Mozilla. Pokud dostanete deníky, získáte asi 3 denní aktualizace pro X.org nebo Firefox. Je to kvůli práci, kterou jste tam vložili, a pokud používáte jejich denní PPA, znamená to, že chcete pomoci s lovem nebo vývojem chyb a NE pro produkční prostředí.

V zásadě se držte tohoto 3 a budete v bezpečí. Vždy hledejte výrobce/správce PPA. Vždy se přesvědčte, zda jej mnoho uživatelů použilo, a vždy se podívejte, jak je PPA aktualizována. Místa jako OMGUbunt , Phoronix , Slashdot , H , WebUp8 a dokonce i zde v AskUbuntu jsou dobré zdroje k nalezení mnoha uživatelů a článků, které hovoří a doporučují některé PPA, které testovali.

stabilní příklady PPA - LibreOffice, OpenOffice, Banshee, víno, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC jsou dobré a bezpečné PPA z MÉ zkušenosti.

Semi Stable PPA - X-Swat PPA je ve středu PPA mezi krvácejícím okrajem a stabilním.

Bleeding Edge PPA - Xorg-Edgers je PPA s krvácejícím okrajem, i když bych měl zmínit, že po 12.04 se tato PPA stala stále stabilnější. Pořád bych to označil jako krvácející Edge, ale pro koncové uživatele je dostatečně stabilní.

Volitelné PPA - Nabídka ruční brzdy zde způsob, jak si uživatel může vybrat, chcete stabilní verzi nebo chcete krvácející okraj (také označovaný jako snímek) verze. V tomto případě můžete vybrat, co chcete použít.

Všimněte si, že v případě použití například X-Swat ppa s Xorg-Edgers PPA, získáte mezi nimi smíšený (s prioritou vůči Xorg-Edgers). Důvodem je to, že se oba snaží zahrnout téměř stejné balíčky, takže se budou navzájem přepisovat a ve vašich úložištích se zobrazí pouze ten nejaktuálnější (s výjimkou případů, kdy jej ručně řeknete, aby balíček převzal z X-Swat).

Některé PPA mohou aktualizovat některé z vašich balíčků, když je přidáte do svého úložiště, protože přepíší svou vlastní verzí určitý balíček, aby software PPA ve vašem systému fungoval správně. Může se jednat o některé balíčky kódů, python verze, atd.) Jiné, jako je LibreOffice PPA, odstraní z vašeho systému veškerou existenci OpenOffice, aby tam nainstalovaly balíčky LibreOffice. V podstatě si přečtěte, co mají ostatní uživatelé komentoval konkrétní balíček a také si přečetl, zda je balíček kompatibilní s vaší verzí Ubuntu.

Jak uvádí komentář níže, Jeremy Bicha, některé krvácející okraje (PPA, které zůstávají velmi aktuální, včetně přidání softwaru kvality Alpha, Beta nebo RC do PPA), by mohly potenciálně poškodit celý váš systém (v nejhorším případě). Jeremy zmiňuje příklad mnoha.

217
Luis Alvarado

Aby bylo možné rozvíjet PPA na launchpadu, musí přispěvatel podepsat buntu kodex chování . To znamená, že vývojář musí dodržovat minimální sadu standardů.

Obvykle by se pak lidé měli obrátit na ubuntufora, aby zjistili, kdo použil konkrétní ppa a zda by mohli způsobit nějaké problémy.

V případě „nováčka“ nebo „noob“ - mou nejlepší radou je vyhýbat se PPA, dokud nebudete mít jistotu, že rozumíte několika věcem o příkazovém řádku, potenciálním chybovým zprávám a několika věcem, jak diagnostikovat problémy.

Chcete-li odstranit problémy způsobující ppa, můžete většinu času použít " ppa_purge "

Pokud se cítíte nervózní, zvažte zálohu obrazu vašeho počítače pomocí nástroje jako clonezilla . Tímto způsobem, pokud se něco pokazí a nemůžete to vyřešit, alespoň máte rychlý způsob, jak obnovit počítač zpět do stavu, v jakém byl předtím, než jste začali hrát.

Přesto je vše velmi užitečné pro získání nejnovějších verzí softwaru - zejména pro ty, kteří se nezkoušejí upgradovat každých 6 měsíců a držet se LTS verze Ubuntu.

57
fossfreedom

Jak již bylo řečeno, nejde jen o malware. Je také to, že část softwaru může být stále ve fázi testování a není připravena k použití ve výrobě. Pokud ji nainstalujete a budete na ni spolehnout, můžete zjistit, že je buggy, nespolehlivá a že může selhat - bez práce, kterou jste udělali.

Některé z nich také nemusí dobře vycházet s jinými aspekty Ubuntu, jako je Unity nebo Gnome, což způsobuje problémy, které je obtížné sledovat, a možná dokonce způsobí nestabilitu vašeho systému.

Není tomu tak proto, že software je špatný, ale proto, že možná ještě nebyl plně otestován, nebo proto, že byl zpřístupněn tak, aby jej lidé mohli vyzkoušet, ale dosud nebyl zamýšlen jako obecný vydání jako produkční software. Měli byste být opatrní, i když některé z nich jsou opravdu dobré.

Před několika měsíci jsem nainstaloval doporučený balíček z konkrétní PPA, a to dostalo do mého systému natolik, že jsem musel přeinstalovat Ubuntu. Byl jsem nový uživatel a nevěděl, co jiného dělat; s trochou více znalostí bych mohl být schopen problém vyřešit a obnovit jej bez nutnosti přeinstalace (i když to pro mě bylo užitečné i při učení Ubuntu, ale kdybych pracoval na svém počítači, ztratil bych to) .

Buďte opatrní, klást otázky, provádět časté zálohy (!!!) a vědět, že malware je nepravděpodobný (i když ne nemožný).

21
Kelley

Všechny obavy uvedené ostatními zde jsou nesmírně důležité pochopit. Vzhledem k tomu, že se jedná o open source, můžeme přesně říci, co se PPA změnilo od verze balíčku v Ubuntu. Jako příklad použijeme PPA od tento duplikát .

Nejprve vezmeme zdroj z PPA dget nástroj, který stáhne všechny kusy zdrojového balíčku Debian s odkazem na soubor dsc:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Tento odkaz jsem našel kliknutím na „Zobrazit podrobnosti o balíčku“:

View package details

A pak:

find dsc file

Dále získáme zdroj balíčku v archivu Ubuntu:

apt-get source unity

Nakonec použijeme debdiff, abychom viděli rozdíly mezi zdrojem těchto dvou balíčků:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Výstup tohoto příkazu je asi tři sta řádků dlouhý, takže ho vložím na Pastebin místo přímo do okna. Teď nemůžu ručit za to, jak dobrý je kód, protože nevím C++, ale zdá se, že dělá to, co tvrdí, a ne nic škodlivého.

19
andrewsomething

PPA je webová složka, která obsahuje software, který můžete nainstalovat. Opravdu to není o nic složitější. Když nainstalujete balíček, uděláte to s oprávněním root a balíček má spuštěné skripty, takže jsou spuštěny jako root. To znamená, že instalace jakéhokoli softwaru je nebezpečná a vy musíte důvěřovat vývojáři nebo distributorovi.

Archiv apt, PPA nebo jinak, se pravidelně dotazuje na aktualizace nainstalovaného softwaru. "Problém" s tím je, že kdokoli může poskytnout novější balíček nainstalovaného softwaru. Můžete například přidat PPA, abyste získali pěkné téma a automatické aktualizace tohoto tématu. Jakmile však přidáte úložiště, může vlastník přidat například opravený balíček openssh-server a v Ubuntu se objeví jako aktualizace. To lze provést rok po přidání PPA, takže je třeba věnovat pozornost aktualizacím.

Systém PPA nezabrání třetím stranám v manipulaci s balíčky, takže pokud důvěřujete vývojáři/distributorovi, pak jsou PPA velmi bezpečné. Pokud například nainstalujete Google Chrome, přidají PPA, takže za to budete dostávat automatické aktualizace. Přidají „deb http://dl.google.com/linux/chrome/deb/ stabilní hlavní“. Pokud byl server DNS, který používáte, napaden tak, aby ukazoval dl.google.com někam jinam, mohli by nainstalovat opravený software na každého, kdo nainstaloval Chrome. Ubuntu by je však odmítl nainstalovat, protože je nelze podepsat soukromým klíčem společnosti Google. V tomto ohledu jsou smlouvy o prodeji velmi bezpečné.

Nelze říci, že PPA je bezpečná nebo ne. Závisí to na lidech, kteří jej používají k distribuci softwaru. S bezplatným softwarem mohou lidé prohlížet zdroj a zjistit, zda je bezpečný nebo ne. Když spousta lidí používá archiv, jako běžné archivy Ubuntu, musíte provést peer review. Malé archivy s několika uživateli to nemají, takže jsou méně důvěryhodné. Hlavní lekcí je, že bez ohledu na to, jaký systém používáte, měli byste při instalaci softwaru dávat pozor.

14

Na základě odpověď Luise Alvarada byste si měli být vědomi těchto rizik:

  • Škodlivé balíčky - Balíčky se mohou pokusit ublížit. To je pro ně snadné, protože mohou spouštět libovolný kód s administrátorskými oprávněními.
  • Špatná kvalita nebo nekompatibilní software - Aplikace nemusí fungovat dobře. Mohlo by dojít k nechtěnému poškození například zásahem do jiného softwaru, zničením dat nebo únikem soukromých informací.

a měli byste věnovat pozornost těmto faktorům:

  • Čestnost správce - Mohl by se vás správce tajně pokusit ublížit?
  • Bezpečnost správce - Je správce zranitelný vůči útoku třetí strany?
  • Spolehlivost správce - Bude správce reagovat na potřebu aktualizací v přiměřeném časovém rámci? Jsou odhodlány dlouhodobě udržovat PPA?
  • Zabezpečení úložiště - Jsou balíčky podepsány správcem?
  • Výkon softwaru - Je software bez chyb a je kompatibilní s vaším systémem?
12
ændrük

Balíčky na PPA nejsou kontrolovány na věci jako malware. Takže i když pro vás někdo může balit něco jako XBMC, může také snadno přidat také nějaký spyware/malware. To je důvod, proč byste neměli jen přidávat žádné náhodné PPA.

8
tgm4883

Když přidáte ppa a nainstalujete program přes něj.

V zásadě dáváte povolení k pobytu v tomto povoleném spustitelném prostoru (/ bin// sbin// usr/bin /).

Nyní, pokud je samotný program nějakým malwarem, systém si na něj nebude stěžovat, protože vy jste ten, kdo přidal ppa vzhledem k jeho důvěryhodnosti.

Když program pochází z úložišť Ubuntu, jsou nejprve zkontrolovány (rád bych to řekl důkladně, ale nevím: P), takže ti z úložišť Ubuntu jsou jistě bez malwaru/spywaru.

Pro jakýkoli jiný ppa je na vás/uživateli, aby se rozhodl, zda tomu věřit nebo ne.

3
wisemonkey