Domanda I PPA sono sicuri da aggiungere al mio sistema e quali sono alcune "bandiere rosse" a cui prestare attenzione?


Vedo molti programmi interessanti là fuori che possono essere ottenuti aggiungendo un "PPA" al sistema ma, se sto capendo correttamente, dovremmo stare all'interno dei "repository" ufficiali per aggiungere software al nostro sistema.

C'è un modo per un novizio di sapere se un "PPA" è sicuro o se dovrebbe essere evitato? Quali consigli devono essere a conoscenza dell'utente quando si tratta di un PPA ?.


282
2018-04-17 16:31


origine


Guarda anche: askubuntu.com/questions/7662/... - Mechanical snail
Potresti controllare se c'è un snappy pacchetto disponibile anche. Tendono ad essere limitati dalle regole di sicurezza. Devi concedere esplicitamente alcune autorizzazioni ad alcuni scatti, sebbene il problema generale sia lo stesso (devi fidarti del publisher). - Ken Sharp


risposte:


PPA (Archivio pacchetto personale) sono usati per includere un software specifico su Ubuntu, Kubuntu o qualsiasi altra distribuzione compatibile con PPA. Il "sicurezza"di un PPA dipende principalmente da 3 cose:

  1. Chi ha creato il PPA - Un PPA ufficiale da WINE o LibreOffice come ppa: libreoffice / ppa e un PPA che ho creato io stesso non sono la stessa cosa. Non mi conosci come manutentore PPA, quindi il problema di affidabilità e sicurezza è MOLTO basso per me (Dato che avrei potuto creare un pacchetto corrotto, pacchetto incompatibile o qualsiasi altra cosa cattiva), ma per LibreOffice e il PPA che offrono nel loro sito web , CHE dà una certa rete di sicurezza ad esso. Quindi, a seconda di chi ha creato il PPA, quanto tempo è riuscito a fare e mantenere il PPA influenzerà un po 'la sicurezza del PPA per te. I PPA come menzionato sopra nei commenti non sono certificati da Canonical.

  2. Quanti utenti hanno utilizzato il PPA - Ad esempio, ho un PPA da http://winehq.org nel mio PPA personale. Ti fideresti di ME con 10 utenti che confermano l'utilizzo del mio PPA avendo 6 di loro dicendo che fa schifo rispetto a quello che Scott Ritchie offre come ppa: ubuntu-wine / ppa nel sito web ufficiale di winehq. Ha migliaia di utenti (incluso me) che usano il suo PPA e si fidano del suo lavoro. Questo è un lavoro che ha diversi anni dietro di esso.

  3. Quanto è aggiornato il PPA - Diciamo che stai usando Ubuntu 10.04 o 10.10 e vuoi usare quel PPA speciale. Scoprirai che l'ultimo aggiornamento a quel PPA era di 20 anni fa. O.o. Le possibilità che hai di usare THAT PPA sono nulle. Perché?. Poiché le dipendenze del pacchetto di cui PPA ha bisogno sono molto vecchie e forse quelle aggiornate cambiano così tanto codice che non funzioneranno con il PPA e forse interromperanno il sistema se installerai uno qualsiasi dei pacchetti di quel PPA sul tuo sistema.

    Quanto è aggiornato un PPA influenza la decisione di usarlo se lui / lei vuole usare quel PPA. Altrimenti preferirebbero andare a cercarne un altro più aggiornato. Non vuoi Banshee 0.1 o Wine 0.0.0.1 o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition con l'ultima versione di Ubuntu. Quello che vuoi è un PPA che viene aggiornato alla tua attuale Ubuntu. Ricorda che un PPA menziona per quale versione di Ubuntu è stata creata o per cui sono state create più versioni di Ubuntu.

    Come esempio di questo ecco un'immagine delle versioni supportate nel PPA Wine:

    enter image description here

    Qui puoi vedere che questo PPA è supportato dai Dinosauri.

    Una cosa BAD su come è aggiornato un PPA è, se il manutentore PPA tende a spingere nel PPA la versione più recente, più grande e all'avanguardia di un pacchetto specifico. Il lato negativo di questo è che se stai andando a testare l'ultima di qualcosa, stai andando a trovare alcuni bug. Cerca di restare fedele ai PPA che vengono aggiornati a una versione stabile e non a una versione unstable, testing o dev poiché potrebbero / conterranno bug. L'idea di avere l'ultima è anche quella di TEST e dire quali problemi sono stati trovati e risolverli. Un esempio di questo sono i PPA giornalieri di Xorg e i PPA giornalieri di Mozilla. Riceverai circa 3 aggiornamenti giornalieri per X.org o Firefox se ricevi i quotidiani. Ciò è dovuto al lavoro svolto e se si utilizzano i propri PPA giornalieri significa che si desidera aiutare con la ricerca o lo sviluppo di bug e NON per un ambiente di produzione.

Sostanzialmente con questo 3 e sarai al sicuro. Cerca sempre il creatore / manutentore del PPA. Controlla sempre se molti utenti lo hanno usato e vedi sempre come è aggiornato il PPA. Luoghi come OMGUbuntu, Phoronix, Slashdot, L'H, WebUp8 e anche qui in AskUbuntu sono buone fonti per trovare molti utenti e articoli che parlano e raccomandano alcuni PPA che hanno testato.

Esempi di PPA stabili - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sono PPA buoni e sicuri dalla mia esperienza.

PPA semi-stabile - X-Swat PPA è un PPA centrale tra il bordo sanguinante e stabile.

Bleeding Edge PPA - Xorg-Edgers è un PPA sanguinante anche se dovrei dire che dopo il 12.04 questo PPA è diventato sempre più stabile. Lo segnerei comunque come bordo sanguinante ma è abbastanza stabile per gli utenti finali.

PPA selezionabile - Offerte di freno a mano Qui un modo per l'utente di scegliere, vuoi una versione stabile o vuoi la versione di bordo sanguinante (detto anche Snapshot). In questo caso è possibile selezionare ciò che si desidera utilizzare.

Si noti che nel caso dell'uso del ppa X-Swat con il PPA Xorg-Edgers, si otterrà un misto tra i due (con priorità verso Xorg-Edgers). Questo perché entrambi stanno tentando di includere quasi gli stessi pacchetti, quindi si sovrascriveranno l'un l'altro e solo il più aggiornato verrà mostrato nei repository (eccetto se lo dirai manualmente per prendere il pacchetto da X-Swat).

Alcuni PPA potrebbero aggiornare alcuni dei tuoi pacchetti quando li aggiungi al tuo repository perché sovrascriveranno con la loro versione un determinato pacchetto per far funzionare correttamente il software PPA sul tuo sistema. Potrebbe trattarsi di pacchetti di codice, versioni python, ecc. Altro come il PPA di LibreOffice rimuoverà tutta l'esistenza di OpenOffice dal tuo sistema per installare lì i pacchetti di LibreOffice. In pratica leggi ciò che altri utenti hanno commentato su un pacchetto specifico e leggi anche se il pacchetto è compatibile con la tua versione di Ubuntu.

Come suggerito dal commento di Jeremy Bicha, alcuni aspetti negativi (i PPA che rimangono aggiornati tra cui l'aggiunta di software di qualità Alpha, Beta o RC nel PPA) potrebbero potenzialmente danneggiare l'intero sistema (nel peggiore dei casi). Jeremy menziona un esempio di molti.


204
2018-04-17 17:57



È vero per la moltitudine di PPA che è necessario installare per ottenere temi come equinozio, elementari ecc.? - abel
Sì. Si applica a qualsiasi PPA. Ricorda che un PPA è semplicemente un modo semplice per aggiornare un programma o un gruppo di programmi tramite qualcuno che lo impiega nel loro tempo per aggiornarli. Quindi è un posto dove qualcuno dedica il proprio tempo a qualcosa per essere aggiornato o compatibile con il sistema più recente / più vecchio. Ma dal momento che è un umano che lo sta facendo, potrebbero esserci degli errori in arrivo. - Luis Alvarado♦
Come si fa a scoprire quanti utenti ha un PPA? - damien
L'aggiunta di un PPA offre agli hacker dei buchi da passare? - mathmaniage


Per sviluppare PPA sul launchpad, il contributore deve aver firmato il codice di condotta di ubuntu. Ciò significa che lo sviluppatore deve rispettare un insieme minimo di standard.

Di solito le persone dovrebbero quindi consultare gli ubuntuforum per vedere chi ha usato particolari ppa e se possono causare problemi.

Per un "novizio" o "noob", il mio miglior consiglio è di evitare PPA fino a quando non ti senti sicuro di aver compreso alcune cose sulla linea di comando, i potenziali messaggi di errore e alcune cose su come diagnosticare i problemi.

Per rimuovere i problemi che causano la ppa, puoi utilizzare la maggior parte del tempo "ppa_purge"

Se ti senti nervoso, considera un backup di immagine del tuo computer con uno strumento simile Clonezilla. In questo modo, se le cose vanno male e non riesci a risolverlo, almeno hai un modo rapido per ripristinare il tuo computer come era prima di iniziare a giocare.

Detto questo, i ppa sono estremamente utili per ottenere le ultime versioni del software, specialmente per quelli che non cercano di aggiornarsi ogni 6 mesi e si attaccano alla versione LTS di ubuntu.


55
2018-04-17 17:27



Mi piacerebbe la tua risposta in cima solo per i consigli ai novizi. :( - Braiam
@fossFreedom: ricevo aggiornamenti automatici se installo tramite ppa o apt-get install utilità - Rajat Gupta
@ user01 - se la persona che ha creato il PPA aggiorna il pacchetto con una nuova versione, sì - otterrai automaticamente l'aggiornamento se prima hai aggiunto il PPA apt-get install package - fossfreedom♦
Ovviamente, un utente malintenzionato non verrà fermato dal dover firmare il codice di condotta ... - evilsoup
I backup non ti salveranno dal furto digitale (ad esempio un PPA dannoso che invia i cookie del browser o le chiavi ssh a casa). Se ti senti davvero nervoso, dovrebbe essere sicuro installare ed eseguire il PPA all'interno di una macchina virtuale, container o schroot. - joeytwiddle


Non è solo una questione di malware, come è già stato detto. È anche possibile che alcuni dei software siano ancora in fase di test e non siano pronti per l'uso in produzione. Se lo installi e fai affidamento su di esso per portare a termine il lavoro, potresti scoprire che è bacato, inaffidabile e può bloccarsi, lasciandoti senza il lavoro che hai svolto.

Alcuni potrebbero anche non andare d'accordo con altri aspetti di Ubuntu, come Unity o Gnome, causando problemi difficili da rintracciare e forse anche rendendo instabile il tuo sistema.

Questo non perché il software sia cattivo, ma perché forse non è stato ancora completamente testato, o perché è stato reso disponibile in modo che le persone possano testarlo, ma non ancora destinato a essere rilasciato come software di produzione. Quindi dovresti usare cautela, anche se alcune sono davvero buone.

Alcuni mesi fa ho installato un pacchetto consigliato da un particolare PPA e ho distrutto il mio sistema abbastanza da dover reinstallare Ubuntu. Ero un nuovo utente e non sapevo cos'altro fare; con un po 'più di conoscenza sarei stato in grado di risolvere il problema e ripristinarlo senza fare una reinstallazione (anche se anche questo mi è stato utile nell'apprendimento di Ubuntu, ma se avessi lavorato salvato sulla mia macchina l'avrei perso) .

Quindi, fai attenzione, fai domande, fai frequenti backup (!!!) e sai che il malware è improbabile (anche se non impossibile).


21
2017-12-01 20:52





Tutte le preoccupazioni elencate da altri qui sono estremamente importanti da capire. Detto questo, poiché questo è open source, possiamo dire esattamente cosa è cambiato dal PPA dalla versione del pacchetto in Ubuntu. Useremo il PPA da questo duplicato come esempio.

Per prima cosa prenderemo la fonte dal PPA dget uno strumento che scaricherà tutti i pezzi di un pacchetto sorgente Debian dato un collegamento al dsc file:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ho trovato il link facendo clic su "Visualizza dettagli pacchetto":

View package details

E poi:

find dsc file

Successivamente, otterremo la fonte del pacchetto nell'archivio di Ubuntu:

apt-get source unity

Finalmente, useremo debdiff per vedere le differenze tra la fonte dei due pacchetti:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

L'output di quel comando è lungo circa trecento righe, quindi lo metto su un pastebin invece di direttamente nella finestra. Ora, non posso garantire quanto sia buono il codice poiché non conosco il C ++, ma sembra che stia facendo ciò che afferma e non qualcosa di malevolo.


17
2018-06-05 14:14



+1, ma il tuo collegamento pastebin è rotto. - unforgettableid


Un PPA è una cartella Web che contiene software che è possibile installare. Non è molto più complicato di così. Quando si installa un pacchetto, lo si fa con i privilegi di root e il pacchetto ha script che vengono eseguiti, quindi vengono eseguiti come root. Ciò significa che l'installazione di qualsiasi software è pericolosa e devi aver fiducia nello sviluppatore o nel distributore.

Un archivio apt, PPA o altro, viene regolarmente interrogato per gli aggiornamenti del software installato. Il "problema" con questo, è che chiunque può fornire un nuovo pacchetto di software che hai installato. Ad esempio, puoi aggiungere un PPA per ottenere un tema piacevole e aggiornamenti automatici di quel tema. Ma una volta che hai aggiunto quel repository, il proprietario può aggiungere un pacchetto openssh-server patchato, per esempio, e apparirà come aggiornamento in Ubuntu. Questo può essere fatto un anno dopo aver aggiunto il PPA, quindi è necessario prestare attenzione agli aggiornamenti.

Il sistema PPA impedisce tuttavia a terze parti di manomettere i pacchetti, quindi, se ti fidi dello sviluppatore / distributore, i PPA sono molto sicuri. Ad esempio, se installi Google Chrome, aggiungono un PPA per ricevere aggiornamenti automatici. Aggiungono "deb http://dl.google.com/linux/chrome/deb/ stable main. "Se il server DNS che usi è stato hackerato per indirizzare dl.google.com da qualche altra parte, allora potrebbero spingere software patchato su chiunque abbia installato Chrome. Ma Ubuntu si rifiuterebbe di installarli dal momento che non potevano essere firmati con Googles chiave privata, quindi a tale riguardo i PPA sono molto sicuri.

Non è possibile affermare che un PPA sia sicuro o meno. Dipende dalle persone che lo usano per distribuire il software. Con il software gratuito, le persone possono guardare la fonte e vedere se è sicura o meno. Quando molte persone usano un archivio, come gli archivi regolari di Ubuntu, allora hai una peer review. I piccoli archivi con pochi utenti non hanno questo, quindi sono meno affidabili. La lezione principale è che, indipendentemente dal sistema utilizzato, è necessario fare attenzione durante l'installazione del software.


13
2017-08-29 18:50





Costruire su La risposta di Luis Alvarado, dovresti essere consapevole di questi rischi:

  • Pacchetti dannosi-I pacchetti potrebbero provare a farti del male. Questo è facile per loro perché possono eseguire qualsiasi codice con privilegi amministrativi.
  • Software di scarsa qualità o incompatibile-Una applicazione potrebbe non funzionare bene. Potrebbe accidentalmente causare danni, ad esempio interferendo con altri software, distruggendo i dati o divulgando informazioni private.

e dovresti essere attento a questi fattori:

  • L'onestà del manutentore-Ma il manutentore cerca segretamente di farti del male?
  • Sicurezza del manutentore-Il manutentore è vulnerabile agli attacchi di terzi?
  • Affidabilità del manutentore-Il manutentore risponderà alla necessità di aggiornamenti entro un ragionevole lasso di tempo? Sono impegnati a mantenere il PPA a lungo termine?
  • Sicurezza del repository-Sono pacchetti firmati dal manutentore?
  • Prestazioni del software-Il software è privo di errori e compatibile con il tuo sistema?

12
2017-11-06 17:48





I pacchetti su PPA non vengono controllati per cose come malware. Quindi, mentre qualcuno potrebbe confezionare qualcosa come XBMC per te, potrebbero facilmente aggiungere anche spyware / malware. Questo è il motivo per cui non dovresti semplicemente aggiungere un PPA casuale.


8
2017-12-01 20:16



puoi per favore dire che cos'è esattamente XMBC, sono piuttosto un nuovo Ubu - kernel_panic
XBMC è un software per i media center. È un software buono e sicuro. L'ha usato solo come esempio, potrebbe essere un qualsiasi software. - Anonymous
cosa può fare un malware in Ubuntu, dovrebbe chiedere il permesso per tutto e niente, giusto? - kernel_panic
Una volta installato (cioè dato il permesso di root per copiare i suoi file nelle directory di sistema ed eseguire script personalizzati) può fare tutto ciò che desidera con il sistema. Ecco perché è importante installare pacchetti da fonti attendibili. - arrange
Non corretto. Quando installi un pezzo di software, sei root quando lo fai. È piuttosto facile prendere questo permesso e iniziare a fare cose cattive. - tgm4883