Безопасны ли PPA для добавления в мою систему и какие «красные флаги» следует отслеживать?

268

Я вижу много интересных программ, которые могут быть получены только путем добавления в систему «PPA», но если я правильно понимаю, мы должны оставаться в официальных «хранилищах» для добавления программного обеспечения в нашу систему ,

Есть ли способ новичку узнать, безопасен ли «PPA» или его следует избегать? Какие советы должен знать пользователь при работе с PPA?

    
задан Rob 17.04.2011 в 16:31
источник

8 ответов

196

PPA ( Архив личных пакетов ) используются для включения определенного программного обеспечения в ваш Ubuntu, Kubuntu или любой другой PPA-совместимый дистрибутив. « безопасность » PPA зависит в основном от трех вещей:

  1. Кто сделал PPA . Официальный PPA от WINE или LibreOffice, например ppa: libreoffice / ppa , и PPA, который я создал самостоятельно, не совпадают. Вы не знаете меня как поддерживающего PPA, поэтому проблема доверия и безопасность для меня ОЧЕНЬ низкая (так как я мог сделать поврежденный пакет, несовместимый пакет или что-то еще плохое), но для LibreOffice и PPA, которые они предлагают на своем веб-сайте , ЧТО дает ему определенную защитную сетку. Поэтому, в зависимости от того, кто сделал PPA, как долго он или она занимается разработкой и поддержанием PPA, немного повлияет на то, насколько безопасен PPA для вас. PPA, как упомянуто выше в комментариях, не сертифицированы Canonical.

  2. Сколько пользователей использовали PPA . Например, у меня есть PPA из Ссылка в моем персональный PPA. Можете ли вы доверять ME с 10 пользователями, которые подтверждают использование моего PPA, из которых 6 из них говорят, что это отстой, чем тот, который Scott Ritchie предлагает как ppa: ubuntu-wine / ppa на официальном веб-сайте winehq. У него тысячи пользователей (включая меня), которые используют его PPA и доверяют его работе. Это работа, которая на несколько лет отстает от нее.

  3. Как обновляется PPA . Скажем, вы используете Ubuntu 10.04 или 10.10, и вы хотите использовать специальный PPA. Вы узнаете, что последнее обновление для этого PPA было 20 лет назад .. O.o. Шансы, которые вы имеете на использование THAT PPA, равны нулю. Зачем?. Поскольку зависимости пакетов, которые нужны PPA, очень старые, и, возможно, обновленные изменят так много кода, что они не будут работать с PPA и, возможно, сломают вашу систему, если вы установите какие-либо пакеты этого PPA в вашу систему.

    Насколько обновленный PPA влияет на решение использовать его, если он хочет использовать THAT PPA. Если нет, они предпочтут искать еще один новый. Вы не хотите, чтобы Banshee 0.1 или Wine 0.0.0.1 или OpenOffice 0.1 Beta Alpha Omega Thundercat Edition с последним Ubuntu. Вы хотите, чтобы PPA обновлялся до вашего текущего Ubuntu. Помните, что в PPA упоминается, для какой версии Ubuntu сделана или для нескольких версий Ubuntu.

    В качестве примера здесь представлено изображение версий, поддерживаемых в Wine PPA:

    Здесь вы можете видеть, что этот PPA поддерживается с динозавров.

    Одна БАДная вещь о том, как обновить PPA, если поддерживающий PPA стремится вставить PPA в самую последнюю, самую большую и самую передовую версию конкретного пакета. Нижняя сторона этого заключается в том, что если вы собираетесь протестировать последнее из чего-то, вы собираетесь найти некоторые ошибки. Попытайтесь придерживаться PPA, которые обновляются до стабильной версии, а не нестабильной, тестирующей или dev-версии, поскольку она может содержать / содержать ошибки. Идея иметь последнее - это также ТЕСТ и сказать, какие проблемы были найдены и решить их. Примером этого могут служить ежедневные протоколы Xorg PPAs и Daily Mozilla. Вы получите около 3 ежедневных обновлений для X.org или Firefox, если вы получите ежедневные письма. Это из-за работы, которую вы поставили, и если вы используете их ежедневные PPA, это означает, что вы хотите помочь в поиске или разработке ошибок и НЕ для производственной среды.

В принципе придерживайтесь этого 3, и вы будете в безопасности. Всегда ищите производителя / исполнителя PPA. Всегда смотрите, использовали ли многие пользователи и всегда видят, насколько обновлен PPA. Такие места, как OMGUbuntu , Phoronix , Slashdot , H , WebUp8 и даже здесь, в AskUbuntu, являются хорошими источниками, чтобы найти много пользователей и статей, которые говорят и рекомендуют некоторые PPA, что они протестированы.

Стабильные примеры PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC - это хорошие и безопасные PPA из моего опыта.

Полустабильный PPA - X-Swat PPA представляет собой средний PPA между краем кровотечения и стабильной.

Bleeding Edge PPA . Xorg-Edgers - это кровоточащий край PPA, хотя я должен упомянуть, что после 12.04 этот PPA стал все более стабильным. Я бы по-прежнему отмечал это как кровотечение, но он достаточно стабилен для конечных пользователей.

Выбираемый PPA - Handbrake предлагает здесь способ выбора пользователем, хотите ли вы стабильную версии или вам нужна версия кровотечения (также упоминается как снимок). В этом случае вы можете выбрать, что хотите использовать.

Обратите внимание, что в случае использования, например, X-Swat ppa с PPA Xorg-Edgers, вы получите смешанный между ними (с приоритетом по отношению к Xorg-Edgers). Это связано с тем, что оба пытаются включить почти те же пакеты, поэтому они перезаписывают друг друга, и в ваших репозиториях будет отображаться только самый обновленный (за исключением того, что вы вручную скажете, чтобы он захватил пакет из X-Swat).

Некоторые PPA могут обновлять некоторые из ваших пакетов, когда вы добавляете их в свой репозиторий, потому что они будут перезаписывать своей собственной версией определенный пакет, чтобы программное обеспечение PPA правильно работало в вашей системе. Это могут быть некоторые пакеты кода, версии python и т. Д. Другие, такие как LibreOffice PPA, удаляют все существование OpenOffice из вашей системы, чтобы установить там пакеты LibreOffice. В основном прочитайте, что другие пользователи прокомментировали о конкретном пакете, а также прочитайте, совместим ли пакет с вашей версией Ubuntu.

Как следует из приведенного ниже комментария Джереми Бича, некоторые кровотечения (PPA, которые остаются очень современными, включая добавление альфа-бета-версии или программного обеспечения качества RC в PPA) могут потенциально повредить всю вашу систему (в худшем случае). Джереми упоминает пример многих.

    
ответ дан Luis Alvarado 17.04.2011 в 17:57
источник
52

Чтобы разработать PPA на панели запуска, участник должен подписал код поведения ubuntu . Это означает, что разработчик должен соблюдать минимальный набор стандартов.

Обычно люди должны проконсультироваться с ubuntuforums, чтобы узнать, кто использовал определенные ppa, и могут ли они вызывать какие-либо проблемы.

Для «новичков» или «нубов» мой лучший совет - избегать PPA, пока не почувствуете уверенность в том, что вы понимаете несколько вещей о командной строке, возможных сообщениях об ошибках и о некоторых вещах, как диагностировать проблемы.

Чтобы удалить проблемы с ppa, вы можете использовать большую часть времени ppa_purge "

Если вы нервничаете, рассмотрите резервную копию образа своего компьютера с помощью инструмента clonezilla . Таким образом, если что-то пойдет не так, и вы не можете его решить, по крайней мере, у вас есть быстрое средство для восстановления вашего компьютера до того, как он появился, прежде чем вы начали играть.

Сказав все это, ppa чрезвычайно полезны для получения последних версий программного обеспечения - особенно для тех, кто не пытается обновляться каждые 6 месяцев и придерживается версии LTS ubuntu.

    
ответ дан fossfreedom 17.04.2011 в 17:27
20

Это не просто проблема вредоносного ПО, как уже было сказано. Кроме того, некоторые из программных продуктов действительно могут быть на стадии тестирования и не готовы к использованию в производстве. Если вы установите его и положитесь на него, чтобы получить работу, вы можете обнаружить, что она глючит, ненадежна и может потерпеть крах - оставив вас без работы, которую вы сделали.

Некоторые из них могут также хорошо ладить с другими аспектами Ubuntu, такими как Unity или Gnome, вызывая проблемы, которые трудно отследить, и, возможно, даже сделать вашу систему неустойчивой.

Это не потому, что программное обеспечение плохое, а потому, что оно, возможно, еще не полностью протестировано, или потому, что оно было доступно, чтобы люди могли его протестировать, но еще не предназначались для публикации в качестве программного обеспечения для производства. Поэтому вам следует проявлять осторожность, хотя некоторые из них действительно неплохие.

Несколько месяцев назад я установил рекомендуемый пакет из определенного PPA, и он настолько повредил мою систему, что мне пришлось переустановить Ubuntu. Я был новым пользователем и не знал, что еще делать; с немного большим количеством знаний, я мог бы решить проблему и восстановить ее, не переустанавливая (хотя это тоже было полезно для изучения Ubuntu, но если бы я работал на моей машине, я бы ее потерял) .

Поэтому будьте осторожны, задавайте вопросы, делайте частые резервные копии (!!!) и знайте, что вредоносное ПО маловероятно (хотя и не невозможно).

    
ответ дан Kelley 01.12.2011 в 20:52
15

Все проблемы, перечисленные другими здесь, чрезвычайно важны для понимания. Тем не менее, поскольку это открытый исходный код, мы можем точно сказать, что PPA изменило с версии пакета в Ubuntu. Мы будем использовать PPA из этого дубликата в качестве пример.

Сначала мы возьмем источник из инструмента PPA dget , который загрузит все части исходного пакета Debian с ссылкой на файл dsc :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Я нашел эту ссылку, нажав "Просмотреть сведения о пакете":

И затем:

Затем мы получим исходный код пакета в архиве Ubuntu:

apt-get source unity

Наконец, мы будем использовать debdiff , чтобы увидеть различия между источником двух пакетов:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Результат этой команды составляет около трех сотен строк, поэтому я положу ее на pastebin вместо прямого в окно. Теперь я не могу ручаться за то, насколько хорош код, так как я действительно не знаю C ++, но, похоже, он делает то, что он утверждает, а не что-то злонамеренное.

    
ответ дан andrewsomething 05.06.2012 в 14:14
13

PPA - это веб-папка, содержащая программное обеспечение, которое вы можете установить. Это действительно не намного сложнее. Когда вы устанавливаете пакет, вы делаете это с правами root, а в пакете запускаются скрипты, поэтому они запускаются с правами root. Это означает, что установка любого программного обеспечения опасна, и вам нужно доверять разработчику или дистрибьютору.

Архив apt, PPA или иным образом регулярно публикуется для обновлений программного обеспечения, которое вы установили. «Проблема» в том, что каждый может предоставить более новый пакет программного обеспечения, которое вы установили. Например, вы можете добавить PPA, чтобы получить приятную тему и автоматические обновления этой темы. Но как только вы добавили этот репозиторий, владелец может добавить патч-пакет openssh-server, например, и он появится как обновление в Ubuntu. Это можно сделать через год после добавления PPA, поэтому вам нужно обратить внимание на обновления.

Система PPA действительно предотвращает несанкционированное использование сторонних сторон пакетами, поэтому, если вы доверяете разработчику / дистрибьютору, PPA очень безопасны. Например, если вы устанавливаете Google Chrome, то они добавляют PPA, чтобы получать автоматические обновления для него. Они добавляют «deb Ссылка стабильная основная». Если DNS-сервер, который вы используете, был взломан, чтобы указать dl.google.com где-то в другом месте, тогда они могут направить исправленное программное обеспечение всем, кто установил Chrome. Но Ubuntu отказался устанавливать их, поскольку они не могли быть подписаны с закрытым ключом Google. Поэтому в этом отношении PPA очень безопасны.

Нельзя сказать, что PPA безопасен или нет. Это зависит от людей, которые используют его для распространения программного обеспечения. С помощью бесплатного программного обеспечения люди могут посмотреть на источник и посмотреть, безопасно это или нет. Когда многие люди используют архив, например, обычные архивы Ubuntu, у вас есть экспертная оценка. У небольших архивов с несколькими пользователями этого нет, поэтому они менее надежны. Основной урок заключается в том, что независимо от того, какую систему вы используете, вы должны следить за установкой программного обеспечения.     

ответ дан Jo-Erlend Schinstad 29.08.2011 в 18:50
11

Основываясь на ответе Луиса Альварадо , вы должны знать об этих рисках:

  • Вредоносные пакеты . Пакеты могут пытаться причинить вам вред. Это легко для них, потому что они могут запускать любой код с правами администратора.
  • Некачественное или несовместимое программное обеспечение . Приложение может работать неправильно. Это может случайно нанести ущерб, например, вмешательство в другое программное обеспечение, уничтожение ваших данных или утечку конфиденциальной информации.

, и вы должны быть внимательны к этим факторам:

  • Честность сопровождающего . Можете ли, чтобы сопровождающий тайно пытался навредить вам?
  • Безопасность сопровождающего . Помогает ли поддерживающий атаковать третью сторону?
  • Надежность сопровождающего . Будет ли поддерживающий отвечать на необходимость обновления в течение разумного периода времени? Являются ли они приверженными поддержанию PPA в долгосрочной перспективе?
  • Безопасность репозитория - пакеты, подписанные сопровождающим?
  • Производительность программного обеспечения . Исправлено ли программное обеспечение и совместимо с вашей системой?
ответ дан ændrük 06.11.2013 в 17:48
8

Пакеты на PPA не проверяются на такие вещи, как вредоносное ПО. Поэтому, когда кто-то может упаковать что-то вроде XBMC для вас, они также могут легко добавить и шпионское / вредоносное ПО. Вот почему вы не должны просто добавлять произвольный PPA.

    
ответ дан tgm4883 01.12.2011 в 20:16
2

Когда вы добавляете ppa и устанавливаете через нее программу.

В основном вы даете разрешение на размещение этой программы в разрешенной исполняемой области (/ bin / / sbin / / usr / bin /).

Теперь, если сама программа есть / имеет какое-то вредоносное ПО, система не будет жаловаться на это, поскольку вы тот, кто добавил ppa, считая его заслуживающим доверия.

Когда программа поступает из репозиториев Ubuntu, они сначала проверяются (я хотел бы сказать полностью, но я не знаю: P), поэтому те из репозиториев Ubuntu не имеют вредоносных программ / шпионских программ.

Для любого другого ppa его вам / пользователю решать, доверять ему или нет.

    
ответ дан wisemonkey 01.12.2011 в 20:22