Чи безпечно додавати PPA до моєї системи та на які «червоні прапори» слідкувати?

Я бачу там багато цікавих програм, які можна отримати лише додавши в систему "PPA", але, якщо я правильно розумію, ми повинні залишатися в офіційних "сховищах" для додавання програмного забезпечення до нашої системи.

Чи є якийсь спосіб для початківця дізнатися, чи безпечний "PPA" чи його слід уникати? Які поради повинен знати користувачеві при роботі з PPA ?.

PPA ( Персональний архів пакетів ) використовується для включення конкретного програмного забезпечення до вашого Ubuntu, Kubuntu або будь-якого іншого сумісного з PPA дистрибутива. " Безпечність " ЗІЗ залежить здебільшого від 3 речей:

1. Хто зробив PPA - Офіційний PPA від WINE або LibreOffice, як ppa: libreoffice / ppa та PPA, який я створив сам, - це не те саме. Ви не знаєте мене як підтримку PPA, тому питання довіри та безпека для мене ДУЖЕ низькі (оскільки я міг зробити зіпсований пакет, несумісний пакет чи щось інше погано), але для LibreOffice та PPA вони пропонують на своєму веб-сайті , Що дає певну мережу безпеки. Отже, залежно від того, хто склав PPA, як довго він чи вона виробляє та підтримує PPA, трохи вплине на те, наскільки безпечний для вас PPA. ЗНО, як було зазначено вище в коментарях, не засвідчується компанією Canonical.

2. Скільки користувачів використовували PPA - Наприклад, у мене в моєму особистому PPA є PPA від http://winehq.org . Чи довіряєте мені МС з 10 користувачами, які підтверджують використання мого PPA, маючи 6 з них, які говорять, що це смачно, ніж тому, що Скотт Річі пропонує як ppa: ubuntu-wine / ppa на офіційному веб-сайті winehq. У ньому є тисячі користувачів (включаючи мене), які використовують його PPA і довіряють його роботі. Це робота, яка за нею вже кілька років.

3. Наскільки оновлено PPA - Скажімо, ви використовуєте Ubuntu 10.04 або 10.10, і ви хочете використовувати ЦЕ спеціальний PPA. Ви дізнаєтесь, що останнє оновлення цього PPA було 20 років тому .. Оо Шанси, які ви використовуєте ТОЗУ, не є нульовими. Чому ?. Оскільки залежність від пакета, яка потрібна PPA, дуже стара, і, можливо, оновлені змінили настільки великий код, що вони не зможуть працювати з PPA і, можливо, порушують вашу систему, якщо ви встановите будь-який з пакетів цього PPA у вашу систему.

   Наскільки оновлений параметр PPA впливає на рішення використовувати його, якщо він / вона хоче використовувати ЦЕ PPA. Якщо ні, то вони б скоріше пішли шукати ще одну актуальну. Ви не хочете Banshee 0.1 або Wine 0.0.0.1 або OpenOffice 0.1 Beta Alpha Omega Thundercat Edition з останньою Ubuntu. Те, що вам потрібно, - це PPA, який оновлюється до вашої поточної Ubuntu. Пам'ятайте, що PPA згадує для того, для чого створена версія Ubuntu або для якої було зроблено кілька версій Ubuntu.

   Як приклад цього наводимо зображення версій, які підтримуються у Wine PPA:

   

   Тут ви бачите, що цей PPA підтримується з динозаврів.

   Одна річ BAD про те, наскільки оновлено PPA, якщо технічне обслуговування PPA прагне втиснути в PPA останню, найбільшу і найсучаснішу версію конкретного пакету. Суть цього полягає в тому, що якщо ви збираєтеся перевірити останнє, ви знайдете помилок. Спробуйте дотримуватися PPA, які оновлюються до стабільної версії, а не нестабільної, тестувальної чи розробленої версії, оскільки вона може / міститиме помилки. Ідея мати останнє - це також TEST і сказати, які проблеми були знайдені та вирішити їх. Прикладом цього є щоденні Xorg PPA та Daily Mozilla PPA. Ви отримаєте близько 3 щоденних оновлень для X.org або Firefox, якщо отримаєте щоденники. Це пояснюється роботою, яку проводять там, і якщо ви використовуєте їх щоденні PPA, це означає, що ви хочете допомогти у пошуку чи розробці помилок, а НЕ для виробничих умов.

В основному дотримуйтесь цих 3, і ви будете в безпеці. Завжди шукайте виробника / технічного обслуговування ПДА. Завжди дивіться, чи багато користувачів це використовували, і завжди бачите, наскільки оновлений PPA. Такі місця, як OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 і навіть тут, в AskUbuntu, є хорошими джерелами для пошуку багатьох користувачів і статей, про які йдеться і рекомендують деякі параметри PPA, які вони перевірили.

Стабільні приклади PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC - це хороші та безпечні PPA з мого досвіду.

Напівстабільний PPA - X-Swat PPA - це середній PPA між краєм кровотоку та стабільним.

Кровотеча КРП - Хорг-Еджерс є крайовим КПК, хоча я мушу зазначити, що після 12.04 цей ППА стає все більш стабільним. Я б все-таки відзначив це кровотоком, але він досить стабільний для кінцевих споживачів.

Вибір PPA - Ручний гальмо пропонує тут спосіб, щоб користувач міг вибрати, чи хочете ви стабільну версію, чи ви хочете, що кровоточить (також званий Snapshot) версією. У цьому випадку ви можете вибрати те, що ви хочете використовувати.

Зауважте, що у випадку використання, наприклад, X-Swat ppa з Xorg-Edgers PPA, ви отримаєте змішане між двома (З пріоритетом до Xorg-Edgers). Це тому, що обидва намагаються включити майже однакові пакети, тож вони перезапишуть один одного, і у ваших сховищах відображатиметься лише найновіший (за винятком випадків, якщо ви вручну скажете йому захопити пакунок із X-Swat).

Деякі пакети PPA можуть оновити деякі ваші пакети, коли ви додасте їх у свій сховище, оскільки вони замінять власною версією певний пакет, щоб змусити програмне забезпечення PPA працювати у вашій системі правильно. Це можуть бути деякі пакети коду, версії python тощо. Інші на кшталт LibreOffice PPA видалять все існування OpenOffice з вашої системи для встановлення там пакетів LibreOffice. В основному читайте, що інші користувачі коментували певний пакет, а також читайте, чи пакет сумісний з вашою версією Ubuntu.

Як випливає з коментаря нижче Джеремі Біча, деякі кровоточиві межі (PPA, які залишаються дуже актуальними, включаючи додавання програмного забезпечення якості Alpha, Beta або RC в PPA), можуть потенційно пошкодити всю вашу систему (в гіршому випадку). Джеремі згадує приклад багатьох.

Щоб розробити PPA на стартовій панелі, учасник повинен був підписати код поведінки ubuntu . Це означає, що розробник повинен дотримуватися мінімального набору стандартів.

Зазвичай люди повинні проконсультуватися з ubuntuforums, щоб побачити, хто використовував конкретні програми та якщо вони можуть викликати якісь проблеми.

Для "новачка" або "нооба" - моя найкраща порада - уникати PPA, поки ви не будете впевнені, що зрозумієте кілька речей про командний рядок, потенційні повідомлення про помилки та кілька речей, як діагностувати проблеми.

Щоб видалити проблеми, що викликають ppa , ви можете більшість часу використовувати " ppa_purge "

Якщо ви нервуєте, тоді розгляньте резервну копію зображень на вашому комп’ютері за допомогою інструменту, як клонезила . Таким чином, якщо все піде не так, і ви не можете його вирішити, принаймні у вас є швидкий спосіб відновити комп'ютер таким, яким він був до того, як ви почали грати.

Сказавши все це, ppa є надзвичайно корисними для отримання найновіших версій програмного забезпечення - особливо для тих, хто не намагається оновлювати кожні 6 місяців і дотримуватися LTS версії ubuntu.

Це не лише питання зловмисного програмного забезпечення, як уже було сказано. Крім того, частина програмного забезпечення, можливо, все ще знаходиться на етапі тестування і не готова до використання у виробництві. Якщо ви встановите його і покладаєтесь на нього, щоб виконати роботу, ви можете виявити, що він невдалий, ненадійний і може вийти з ладу - залишивши вас без виконаної роботи.

Деякі з них можуть також не добре поєднуватися з іншими аспектами Ubuntu, такими як Unity або Gnome, спричиняючи проблеми, які важко відстежити, і, можливо, навіть роблять вашу систему нестабільною.

Це не тому, що програмне забезпечення є поганим, а тому, що воно, можливо, ще не було повністю випробувано, або тому, що воно було доступне для того, щоб люди могли його перевірити, але ще не призначене для загального випуску як виробничого програмного забезпечення. Тож слід бути обережними, хоча деякі з них справді непогані.

Кілька місяців тому я встановив рекомендований пакет від певного PPA, і він досить зруйнував мою систему, що мені довелося перевстановити Ubuntu. Я був новим користувачем і не знав, що ще робити; маючи трохи більше знань, я, можливо, міг би вирішити проблему та відновити її, не роблячи перевстановлення (хоча це теж було корисно мені для вивчення Ubuntu, але якби я працював, економив на своїй машині, я би втратив її) .

Тому будьте уважні, задайте питання, робіть часті резервні копії (!!!) і знайте, що зловмисне програмне забезпечення малоймовірне (хоча і не неможливо).

Усі проблеми, перелічені іншими тут, надзвичайно важливі для розуміння. Однак, оскільки це відкритий код, ми можемо точно сказати, що PPA змінився від версії пакету в Ubuntu. Ми використаємо PPA з цього дубліката як приклад.

Спочатку ми захопимо джерело з PPA dgetінструменту, який завантажить усі фрагменти вихідного пакету Debian із посиланням на dscфайл:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Я знайшов це посилання, натиснувши "Переглянути деталі пакета":

І потім:

Далі ми отримаємо джерело пакету в архіві Ubuntu:

apt-get source unity

Нарешті, ми використаємо, debdiffщоб побачити відмінності між джерелом двох пакетів:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Вихід цієї команди становить близько трьох сотень рядків, тому я поставлю її на пастину замість прямо у вікно. Тепер я не можу поручити, наскільки хороший код, оскільки я не знаю C ++, але, схоже, це робить те, що він вимагає, і не робить нічого шкідливого.

PPA - це веб-папка, яка містить програмне забезпечення, яке ви можете встановити. Це насправді не набагато складніше за це. Встановлюючи пакет, ви робите це з привілеями root, і пакет має сценарії, які виконуються, тому вони запускаються як root. Це означає, що встановити будь-яке програмне забезпечення є небезпечним, і вам потрібно довіряти розробнику або дистриб'ютору.

Доречний архів, PPA або інше, регулярно опитується для оновлень встановленого програмного забезпечення. "Проблема" з цим полягає в тому, що кожен може надати новіший встановлений пакет програмного забезпечення. Наприклад, ви можете додати PPA, щоб отримати приємну тему та автоматичні оновлення цієї теми. Але, як тільки ви додали це сховище, власник може, наприклад, додати виправлений пакунок opensh-сервера, і він з'явиться як оновлення в Ubuntu. Це можна зробити через рік після того, як ви додали PPA, тому вам потрібно звернути увагу на оновлення.

Однак система PPA не дозволяє стороннім особам підробляти пакети, тому якщо ви довіряєте розробнику / дистриб'ютору, то PPA дуже безпечні. Наприклад, якщо ви встановите Google Chrome, вони додають PPA, щоб ви отримували автоматичні оновлення для нього. Вони додають "deb http://dl.google.com/linux/chrome/deb/ stable main". Якщо сервер DNS, який ви використовуєте, був зламаний на точку dl.google.com десь в іншому місці, вони могли б натиснути виправлене програмне забезпечення на всіх, хто встановив Chrome. Але Ubuntu відмовиться встановлювати їх, оскільки вони не змогли підписати приватний ключ Googles. Тож у цьому плані PPA дуже безпечні.

Неможливо сказати, що PPA безпечний чи ні. Це залежить від людей, які використовують його для розповсюдження програмного забезпечення. За допомогою безкоштовного програмного забезпечення люди можуть подивитися на джерело та побачити, чи це безпечно чи ні. Коли багато людей використовують архів, як-от звичайні архіви Ubuntu, тоді ви маєте експертну перевірку. Невеликі архіви з малою кількістю користувачів цього не мають, тому вони менш надійні. Основний урок полягає в тому, що незалежно від того, якою системою ви користуєтесь, вам слід подбати про встановлення програмного забезпечення.

Спираючись на відповідь Луїса Альварадо , ви повинні знати про ці ризики:

• Шкідливі пакети - пакунки можуть спробувати нашкодити. Це легко для них, оскільки вони можуть запускати будь-який код з правами адміністратора.
• Низька якість або несумісне програмне забезпечення - Програма може не працювати належним чином. Це може випадково завдати шкоди, наприклад, втручаючись в інше програмне забезпечення, знищуючи ваші дані або витікаючи приватну інформацію.

і ви повинні бути уважними до цих факторів:

• Чесність обслуговуючого персоналу - чи може таємниць таємно намагатися завдати вам шкоди?
• Захищеність обслуговуючого персоналу - чи утримувач уразливий для нападу третьої сторони?
• Надійність обслуговуючого персоналу - Чи реагує обслуговуючий персонал на потребу оновлення протягом розумних строків? Чи зобов’язані вони підтримувати ППС у довгостроковій перспективі?
• Захищеність сховища - Чи є пакети, підписані обслуговувачем?
• Продуктивність програмного забезпечення - чи програмне забезпечення відсутнє помилок та сумісне з вашою системою?

Пакети на PPA не перевіряються на предмет таких речей, як зловмисне програмне забезпечення. Тож, хоча хтось може упакувати щось на зразок XBMC для вас, він також може легко додавати деякі шпигунські та зловмисні програми. Ось чому не слід просто додавати будь-які випадкові PPA.

Коли ви додасте ppa і встановите через нього програму.

В основному ви даєте дозвіл на проживання цієї програми у дозволеній виконуваній області (/ bin / / sbin / / usr / bin /).

Тепер, якщо сама програма є / має зловмисне програмне забезпечення, система не буде скаржитися на неї, оскільки ви додали ppa, вважаючи її надійною.

Коли програма надходить із сховищ Ubuntu, їх спочатку перевіряють (я б хотів сказати ретельно, але я не знаю: P), щоб ті, що знаходились у сховищах Ubuntu, точно не мали шкідливих програм / шпигунських програм.

Для будь-якого іншого пристрою, до нього / користувача потрібно вирішити, довіряти йому чи ні.