Чи безпечно додавати PPA до моєї системи та на які «червоні прапори» слідкувати?


301

Я бачу там багато цікавих програм, які можна отримати лише додавши в систему "PPA", але, якщо я правильно розумію, ми повинні залишатися в офіційних "сховищах" для додавання програмного забезпечення до нашої системи.

Чи є якийсь спосіб для початківця дізнатися, чи безпечний "PPA" чи його слід уникати? Які поради повинен знати користувачеві при роботі з PPA ?.



Ви можете перевірити, чи є в snappyнаявності також пакет. Вони, як правило, обмежені правилами безпеки. Ви повинні чітко надати певні дозволи для деяких знімків, хоча загальна проблема однакова (вам потрібно довіряти видавцю).
Кен Шарп

Відповіді:


213

PPA ( Персональний архів пакетів ) використовується для включення конкретного програмного забезпечення до вашого Ubuntu, Kubuntu або будь-якого іншого сумісного з PPA дистрибутива. " Безпечність " ЗІЗ залежить здебільшого від 3 речей:

  1. Хто зробив PPA - Офіційний PPA від WINE або LibreOffice, як ppa: libreoffice / ppa та PPA, який я створив сам, - це не те саме. Ви не знаєте мене як підтримку PPA, тому питання довіри та безпека для мене ДУЖЕ низькі (оскільки я міг зробити зіпсований пакет, несумісний пакет чи щось інше погано), але для LibreOffice та PPA вони пропонують на своєму веб-сайті , Що дає певну мережу безпеки. Отже, залежно від того, хто склав PPA, як довго він чи вона виробляє та підтримує PPA, трохи вплине на те, наскільки безпечний для вас PPA. ЗНО, як було зазначено вище в коментарях, не засвідчується компанією Canonical.

  2. Скільки користувачів використовували PPA - Наприклад, у мене в моєму особистому PPA є PPA від http://winehq.org . Чи довіряєте мені МС з 10 користувачами, які підтверджують використання мого PPA, маючи 6 з них, які говорять, що це смачно, ніж тому, що Скотт Річі пропонує як ppa: ubuntu-wine / ppa на офіційному веб-сайті winehq. У ньому є тисячі користувачів (включаючи мене), які використовують його PPA і довіряють його роботі. Це робота, яка за нею вже кілька років.

  3. Наскільки оновлено PPA - Скажімо, ви використовуєте Ubuntu 10.04 або 10.10, і ви хочете використовувати ЦЕ спеціальний PPA. Ви дізнаєтесь, що останнє оновлення цього PPA було 20 років тому .. Оо Шанси, які ви використовуєте ТОЗУ, не є нульовими. Чому ?. Оскільки залежність від пакета, яка потрібна PPA, дуже стара, і, можливо, оновлені змінили настільки великий код, що вони не зможуть працювати з PPA і, можливо, порушують вашу систему, якщо ви встановите будь-який з пакетів цього PPA у вашу систему.

    Наскільки оновлений параметр PPA впливає на рішення використовувати його, якщо він / вона хоче використовувати ЦЕ PPA. Якщо ні, то вони б скоріше пішли шукати ще одну актуальну. Ви не хочете Banshee 0.1 або Wine 0.0.0.1 або OpenOffice 0.1 Beta Alpha Omega Thundercat Edition з останньою Ubuntu. Те, що вам потрібно, - це PPA, який оновлюється до вашої поточної Ubuntu. Пам'ятайте, що PPA згадує для того, для чого створена версія Ubuntu або для якої було зроблено кілька версій Ubuntu.

    Як приклад цього наводимо зображення версій, які підтримуються у Wine PPA:

    введіть тут опис зображення

    Тут ви бачите, що цей PPA підтримується з динозаврів.

    Одна річ BAD про те, наскільки оновлено PPA, якщо технічне обслуговування PPA прагне втиснути в PPA останню, найбільшу і найсучаснішу версію конкретного пакету. Суть цього полягає в тому, що якщо ви збираєтеся перевірити останнє, ви знайдете помилок. Спробуйте дотримуватися PPA, які оновлюються до стабільної версії, а не нестабільної, тестувальної чи розробленої версії, оскільки вона може / міститиме помилки. Ідея мати останнє - це також TEST і сказати, які проблеми були знайдені та вирішити їх. Прикладом цього є щоденні Xorg PPA та Daily Mozilla PPA. Ви отримаєте близько 3 щоденних оновлень для X.org або Firefox, якщо отримаєте щоденники. Це пояснюється роботою, яку проводять там, і якщо ви використовуєте їх щоденні PPA, це означає, що ви хочете допомогти у пошуку чи розробці помилок, а НЕ для виробничих умов.

В основному дотримуйтесь цих 3, і ви будете в безпеці. Завжди шукайте виробника / технічного обслуговування ПДА. Завжди дивіться, чи багато користувачів це використовували, і завжди бачите, наскільки оновлений PPA. Такі місця, як OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 і навіть тут, в AskUbuntu, є хорошими джерелами для пошуку багатьох користувачів і статей, про які йдеться і рекомендують деякі параметри PPA, які вони перевірили.

Стабільні приклади PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC - це хороші та безпечні PPA з мого досвіду.

Напівстабільний PPA - X-Swat PPA - це середній PPA між краєм кровотоку та стабільним.

Кровотеча КРП - Хорг-Еджерс є крайовим КПК, хоча я мушу зазначити, що після 12.04 цей ППА стає все більш стабільним. Я б все-таки відзначив це кровотоком, але він досить стабільний для кінцевих споживачів.

Вибір PPA - Ручний гальмо пропонує тут спосіб, щоб користувач міг вибрати, чи хочете ви стабільну версію, чи ви хочете, що кровоточить (також званий Snapshot) версією. У цьому випадку ви можете вибрати те, що ви хочете використовувати.

Зауважте, що у випадку використання, наприклад, X-Swat ppa з Xorg-Edgers PPA, ви отримаєте змішане між двома (З пріоритетом до Xorg-Edgers). Це тому, що обидва намагаються включити майже однакові пакети, тож вони перезапишуть один одного, і у ваших сховищах відображатиметься лише найновіший (за винятком випадків, якщо ви вручну скажете йому захопити пакунок із X-Swat).

Деякі пакети PPA можуть оновити деякі ваші пакети, коли ви додасте їх у свій сховище, оскільки вони замінять власною версією певний пакет, щоб змусити програмне забезпечення PPA працювати у вашій системі правильно. Це можуть бути деякі пакети коду, версії python тощо. Інші на кшталт LibreOffice PPA видалять все існування OpenOffice з вашої системи для встановлення там пакетів LibreOffice. В основному читайте, що інші користувачі коментували певний пакет, а також читайте, чи пакет сумісний з вашою версією Ubuntu.

Як випливає з коментаря нижче Джеремі Біча, деякі кровоточиві межі (PPA, які залишаються дуже актуальними, включаючи додавання програмного забезпечення якості Alpha, Beta або RC в PPA), можуть потенційно пошкодити всю вашу систему (в гіршому випадку). Джеремі згадує приклад багатьох.


Це правда для безлічі PPA, які потрібно встановити, щоб отримати такі теми, як рівнодення, елементарний тощо?
abel

2
Так. Він поширюється на будь-які PPA. Пам’ятайте, що PPA - це просто простий спосіб оновити програму чи групу програм через когось, хто потребує свого часу, щоб оновити їх. Тож це місце, де хтось присвячує свій час для того, щоб щось було оновлено чи сумісне з останньою / старшою системою. Але оскільки це робить людина, на шляху можуть виникнути помилки.
Луїс Альварадо

14
Як можна виявити, скільки користувачів має PPA?
Дамієн

Чи додавання PPA дає хакерам кілька дірок для проходу?
mathmaniage

@mathmaniage Вихідний код повинен бути завантажений і побудований системою, тому вихідний код можна перевірити в будь-який час.
Кен Шарп

56

Щоб розробити PPA на стартовій панелі, учасник повинен був підписати код поведінки ubuntu . Це означає, що розробник повинен дотримуватися мінімального набору стандартів.

Зазвичай люди повинні проконсультуватися з ubuntuforums, щоб побачити, хто використовував конкретні програми та якщо вони можуть викликати якісь проблеми.

Для "новачка" або "нооба" - моя найкраща порада - уникати PPA, поки ви не будете впевнені, що зрозумієте кілька речей про командний рядок, потенційні повідомлення про помилки та кілька речей, як діагностувати проблеми.

Щоб видалити проблеми, що викликають ppa , ви можете більшість часу використовувати " ppa_purge "

Якщо ви нервуєте, тоді розгляньте резервну копію зображень на вашому комп’ютері за допомогою інструменту, як клонезила . Таким чином, якщо все піде не так, і ви не можете його вирішити, принаймні у вас є швидкий спосіб відновити комп'ютер таким, яким він був до того, як ви почали грати.

Сказавши все це, ppa є надзвичайно корисними для отримання найновіших версій програмного забезпечення - особливо для тих, хто не намагається оновлювати кожні 6 місяців і дотримуватися LTS версії ubuntu.


1
Я б хотів, щоб ваша відповідь була вгорі лише за пораду новачкам. :(
Брайам

@fossFreedom: чи отримуватиму автоматичні оновлення, якщо я встановлюю через ppa чи apt-get installутиліту
Rajat Gupta

1
@ user01 - якщо особа, яка створила PPA, оновить пакунок новою версією, так - ви отримаєте оновлення автоматично, якщо ви спочатку додали PPAapt-get install package
fossfreedom

2
Звичайно, зловмисного користувача не зупинять, підписуючи кодекс поведінки ...
evilsoup

Резервні копії не врятують вас від цифрових крадіжок (наприклад, шкідливого PPA, що надсилає ваші веб-переглядачі cookie чи ключі ssh додому) Якщо ви насправді нервуєте, слід встановити і запустити PPA всередині віртуальної машини, контейнера або schroot .
joeytwiddle

21

Це не лише питання зловмисного програмного забезпечення, як уже було сказано. Крім того, частина програмного забезпечення, можливо, все ще знаходиться на етапі тестування і не готова до використання у виробництві. Якщо ви встановите його і покладаєтесь на нього, щоб виконати роботу, ви можете виявити, що він невдалий, ненадійний і може вийти з ладу - залишивши вас без виконаної роботи.

Деякі з них можуть також не добре поєднуватися з іншими аспектами Ubuntu, такими як Unity або Gnome, спричиняючи проблеми, які важко відстежити, і, можливо, навіть роблять вашу систему нестабільною.

Це не тому, що програмне забезпечення є поганим, а тому, що воно, можливо, ще не було повністю випробувано, або тому, що воно було доступне для того, щоб люди могли його перевірити, але ще не призначене для загального випуску як виробничого програмного забезпечення. Тож слід бути обережними, хоча деякі з них справді непогані.

Кілька місяців тому я встановив рекомендований пакет від певного PPA, і він досить зруйнував мою систему, що мені довелося перевстановити Ubuntu. Я був новим користувачем і не знав, що ще робити; маючи трохи більше знань, я, можливо, міг би вирішити проблему та відновити її, не роблячи перевстановлення (хоча це теж було корисно мені для вивчення Ubuntu, але якби я працював, економив на своїй машині, я би втратив її) .

Тому будьте уважні, задайте питання, робіть часті резервні копії (!!!) і знайте, що зловмисне програмне забезпечення малоймовірне (хоча і не неможливо).


19

Усі проблеми, перелічені іншими тут, надзвичайно важливі для розуміння. Однак, оскільки це відкритий код, ми можемо точно сказати, що PPA змінився від версії пакету в Ubuntu. Ми використаємо PPA з цього дубліката як приклад.

Спочатку ми захопимо джерело з PPA dgetінструменту, який завантажить усі фрагменти вихідного пакету Debian із посиланням на dscфайл:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Я знайшов це посилання, натиснувши "Переглянути деталі пакета":

Переглянути деталі пакета

І потім:

знайти файл DSC

Далі ми отримаємо джерело пакету в архіві Ubuntu:

apt-get source unity

Нарешті, ми використаємо, debdiffщоб побачити відмінності між джерелом двох пакетів:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Вихід цієї команди становить близько трьох сотень рядків, тому я поставлю її на пастину замість прямо у вікно. Тепер я не можу поручити, наскільки хороший код, оскільки я не знаю C ++, але, схоже, це робить те, що він вимагає, і не робить нічого шкідливого.


1
+1, але ваше пастбінне посилання розірвано.
незабутнійід

Це відмінний приклад того, як перевірити, що зроблено з пакетом PPA. Посилання на пастебін абсолютно не має значення. +1
Кен Шарп

13

PPA - це веб-папка, яка містить програмне забезпечення, яке ви можете встановити. Це насправді не набагато складніше за це. Встановлюючи пакет, ви робите це з привілеями root, і пакет має сценарії, які виконуються, тому вони запускаються як root. Це означає, що встановити будь-яке програмне забезпечення є небезпечним, і вам потрібно довіряти розробнику або дистриб'ютору.

Доречний архів, PPA або інше, регулярно опитується для оновлень встановленого програмного забезпечення. "Проблема" з цим полягає в тому, що кожен може надати новіший встановлений пакет програмного забезпечення. Наприклад, ви можете додати PPA, щоб отримати приємну тему та автоматичні оновлення цієї теми. Але, як тільки ви додали це сховище, власник може, наприклад, додати виправлений пакунок opensh-сервера, і він з'явиться як оновлення в Ubuntu. Це можна зробити через рік після того, як ви додали PPA, тому вам потрібно звернути увагу на оновлення.

Однак система PPA не дозволяє стороннім особам підробляти пакети, тому якщо ви довіряєте розробнику / дистриб'ютору, то PPA дуже безпечні. Наприклад, якщо ви встановите Google Chrome, вони додають PPA, щоб ви отримували автоматичні оновлення для нього. Вони додають "deb http://dl.google.com/linux/chrome/deb/ stable main". Якщо сервер DNS, який ви використовуєте, був зламаний на точку dl.google.com десь в іншому місці, вони могли б натиснути виправлене програмне забезпечення на всіх, хто встановив Chrome. Але Ubuntu відмовиться встановлювати їх, оскільки вони не змогли підписати приватний ключ Googles. Тож у цьому плані PPA дуже безпечні.

Неможливо сказати, що PPA безпечний чи ні. Це залежить від людей, які використовують його для розповсюдження програмного забезпечення. За допомогою безкоштовного програмного забезпечення люди можуть подивитися на джерело та побачити, чи це безпечно чи ні. Коли багато людей використовують архів, як-от звичайні архіви Ubuntu, тоді ви маєте експертну перевірку. Невеликі архіви з малою кількістю користувачів цього не мають, тому вони менш надійні. Основний урок полягає в тому, що незалежно від того, якою системою ви користуєтесь, вам слід подбати про встановлення програмного забезпечення.


11

Спираючись на відповідь Луїса Альварадо , ви повинні знати про ці ризики:

  • Шкідливі пакети - пакунки можуть спробувати нашкодити. Це легко для них, оскільки вони можуть запускати будь-який код з правами адміністратора.
  • Низька якість або несумісне програмне забезпечення - Програма може не працювати належним чином. Це може випадково завдати шкоди, наприклад, втручаючись в інше програмне забезпечення, знищуючи ваші дані або витікаючи приватну інформацію.

і ви повинні бути уважними до цих факторів:

  • Чесність обслуговуючого персоналу - чи може таємниць таємно намагатися завдати вам шкоди?
  • Захищеність обслуговуючого персоналу - чи утримувач уразливий для нападу третьої сторони?
  • Надійність обслуговуючого персоналу - Чи реагує обслуговуючий персонал на потребу оновлення протягом розумних строків? Чи зобов’язані вони підтримувати ППС у довгостроковій перспективі?
  • Захищеність сховища - Чи є пакети, підписані обслуговувачем?
  • Продуктивність програмного забезпечення - чи програмне забезпечення відсутнє помилок та сумісне з вашою системою?

8

Пакети на PPA не перевіряються на предмет таких речей, як зловмисне програмне забезпечення. Тож, хоча хтось може упакувати щось на зразок XBMC для вас, він також може легко додавати деякі шпигунські та зловмисні програми. Ось чому не слід просто додавати будь-які випадкові PPA.


Ви можете, будь ласка, сказати, що саме таке XMBC, я зовсім новий ubu
kernel_panic

XBMC - це програмне забезпечення медіа-центру. Це хороше і безпечне програмне забезпечення. Він використовував це лише як приклад, це може бути будь-яке програмне забезпечення.
Анонім

що може зробити зловмисне програмне забезпечення в ubuntu, воно повинно запитати дозволу на все, і все правильно?
kernel_panic

Після того, як ви встановили його (тобто надали йому root дозвіл копіювати свої файли в системні каталоги та запускати власні сценарії), він може робити все, що завгодно, із системою. Ось чому важливо встановлювати пакети з надійних джерел.
влаштовуйте

Неправильно. Встановлюючи програмне забезпечення, ви користуєтеся цим корінним механізмом. Досить просто взяти цей дозвіл і почати робити погані справи.
tgm4883

3

Коли ви додасте ppa і встановите через нього програму.

В основному ви даєте дозвіл на проживання цієї програми у дозволеній виконуваній області (/ bin / / sbin / / usr / bin /).

Тепер, якщо сама програма є / має зловмисне програмне забезпечення, система не буде скаржитися на неї, оскільки ви додали ppa, вважаючи її надійною.

Коли програма надходить із сховищ Ubuntu, їх спочатку перевіряють (я б хотів сказати ретельно, але я не знаю: P), щоб ті, що знаходились у сховищах Ubuntu, точно не мали шкідливих програм / шпигунських програм.

Для будь-якого іншого пристрою, до нього / користувача потрібно вирішити, довіряти йому чи ні.


що може зробити зловмисне програмне забезпечення в ubuntu, воно повинно запитати дозволу на все, і все правильно?
kernel_panic

6
Коли ви встановите програмне забезпечення, він попросить дозволу root (екран темніє, і ви введете свій пароль). У цей момент він міг би зробити що завгодно : видалити все зі своєї скриньки, встановити кейлоггер, змінити фон робочого столу на привіт кошеня, будь-що .
SCdF

1
@sanjayasanjuubuntu: під час встановлення він просить дозволу на проживання у виконуваній області, щойно там він може легко отримати доступ до будь-якої не-су інформації. Існують програми, які потребують дозволу на виконання, але якщо сама програма додає додатковий багаж (читайте зловмисне програмне забезпечення) під час упаковки, вона може виконуватись без проблем під час введення пароля.
wisemonkey

Розробники PPA - це найбезпечніший маршрут, а також потрібно бачити тривалість дописувача на Launchpad. Ці фактори гарантують безпечну, стабільну систему, що використовує PPA для останніх програм. Я знайшов цей маршрут, щоб довго працювати з моєю LTS за допомогою нових нових версій програм, які я використовую.
Arup Roy Chowdhury
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.