Vraag Zijn PPA's veilig om toe te voegen aan mijn systeem en wat zijn enkele "rode vlaggen" om op te letten?


Ik zie daar veel interessante programma's die alleen kunnen worden verkregen door een "PPA" aan het systeem toe te voegen, maar als ik het goed begrijp, moeten we binnen de officiële "repositories" blijven voor het toevoegen van software aan ons systeem.

Is er een manier voor een beginneling om te weten of een "PPA" veilig is of moet worden vermeden? Welke tips moet de gebruiker kennen bij het omgaan met een PPA ?.


282
2018-04-17 16:31


oorsprong


Zie ook: askubuntu.com/questions/7662/... - Mechanical snail
Je zou kunnen controleren of er een is snappy pakket ook beschikbaar. Ze worden meestal beperkt door beveiligingsregels. Je moet expliciet bepaalde machtigingen verlenen voor sommige snaps, hoewel het algemene probleem hetzelfde is (je moet de uitgever vertrouwen). - Ken Sharp


antwoorden:


PPA (Persoonlijk pakketarchief) worden gebruikt om een ​​specifieke software op te nemen voor uw Ubuntu, Kubuntu of elke andere PPA-compatibele distro. De "safeness"van een PPA hangt meestal van 3 dingen af:

  1. Wie heeft de PPA gemaakt - Een officiële PPA van WINE of LibreOffice zoals ppa: libreoffice / ppa en een PPA die ik zelf heb gemaakt, is niet hetzelfde. Je kent me niet als een PPA-onderhouder, dus het vertrouwensprobleem en de veiligheid is ZEER laag voor mij (omdat ik een beschadigd pakket, een incompatibel pakket of iets anders slecht had kunnen maken), maar voor LibreOffice en de PPA die ze aanbieden op hun website , DAT geeft een zeker vangnet. Dus afhankelijk van wie de PPA heeft gemaakt, hoe lang hij of zij de PPA heeft gemaakt en onderhouden, zal een beetje invloed hebben op hoe veilig de PPA voor u is. PPA's zoals hierboven vermeld in de opmerkingen zijn niet gecertificeerd door Canonical.

  2. Hoeveel gebruikers hebben de PPA gebruikt - Ik heb bijvoorbeeld een PPA van http://winehq.org in mijn persoonlijke PPA. Zou je ME vertrouwen met 10 gebruikers die bevestigen met behulp van mijn PPA, waarvan 6 zeggen dat het rotzooi is dan dat van Scott Ritchie biedt als ppa: ubuntu-wijn / ppa op de officiële website van Winehq. Het heeft duizenden gebruikers (waaronder ikzelf) die zijn PPA gebruiken en zijn werk vertrouwen. Dit is werk dat enkele jaren achter de rug is.

  3. Hoe de PPA is bijgewerkt - Laten we zeggen dat u Ubuntu 10.04 of 10.10 gebruikt en dat u die speciale PPA wilt gebruiken. U ontdekt dat de laatste update van die PPA 20 jaar geleden was ... O.o. De kansen die u heeft bij het gebruik van DIE PPA zijn nul. Waarom?. Omdat de pakketafhankelijkheden die PPA nodig heeft erg oud zijn en misschien de bijgewerkte versies zo veel code wijzigen dat ze niet met de PPA werken en mogelijk uw systeem breken als u een van de pakketten van die PPA op uw systeem installeert.

    Hoe een PPA is bijgewerkt, heeft invloed op de beslissing om het te gebruiken als hij die PPA wil gebruiken. Als dat niet zo is, gaan ze liever op zoek naar een andere die nog actueler is. U wilt geen Banshee 0.1 of Wine 0.0.0.1 of OpenOffice 0.1 Beta Alpha Omega Thundercat Edition met de nieuwste Ubuntu. Wat u wilt, is een PPA die is bijgewerkt naar uw huidige Ubuntu. Vergeet niet dat een PPA vermeldt voor welke Ubuntu-versie is gemaakt of dat er meerdere Ubuntu-versies voor zijn gemaakt.

    Als een voorbeeld hiervan is hier een afbeelding van de versies die worden ondersteund in de Wine PPA:

    enter image description here

    Hier kun je zien dat deze PPA wordt ondersteund sinds Dinosaurs.

    Een SLECHT ding over hoe een PPA is bijgewerkt, als de PPA-beheerder de neiging heeft om de nieuwste, beste en allernieuwste versie van een specifiek pakket in de PPA te pushen. De keerzijde hiervan is dat als je het laatste van iets gaat testen, je een aantal fouten zult vinden. Probeer bij PPA's te blijven die zijn bijgewerkt naar een stabiele versie en niet naar een onstabiele, test- of dev-versie, omdat deze mogelijk bugs bevat / zal bevatten. Het idee om het nieuwste te hebben is ook om te TESTEN en te zeggen welke problemen werden gevonden en ze op te lossen. Een voorbeeld hiervan zijn de dagelijkse Xorg-PPA's en dagelijkse Mozilla-PPA's. U krijgt ongeveer 3 dagelijkse updates voor X.org of Firefox als u de dagbladen krijgt. Dit komt door het werk dat erin wordt gedaan en als je hun dagelijkse PPA's gebruikt, betekent dit dat je wilt helpen met het jagen op bugs of de ontwikkeling en NIET voor een productieomgeving.

Blijf in principe bij deze 3 en je zult veilig zijn. Zoek altijd naar de maker / onderhouder van de PPA. Controleer altijd of veel gebruikers het hebben gebruikt en zie altijd hoe de PPA is bijgewerkt. Plaatsen zoals OMGUbuntu, Phoronix, Slashdot, De H, WebUp8 en zelfs hier in AskUbuntu zijn goede bronnen om veel gebruikers en artikelen te vinden die over praten en enkele PPA's aanbevelen die ze hebben getest.

Stabiele PPA-voorbeelden - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb en VLC zijn goede en veilige PPA's uit MIJN ervaring.

Semi-stabiele PPA - X-Swat PPA is een in het midden gelegen PPA tussen bloedend en stabiel.

Bleeding Edge PPA - Xorg-Edgers is een bloedstollende PPA, hoewel ik moet vermelden dat na 12.04 deze PPA stabieler is geworden. Ik zou het nog steeds markeren als bloeding, maar het is stabiel genoeg voor eindgebruikers.

Selecteerbare PPA - Handremaanbiedingen hier een manier voor de gebruiker om te kiezen, wil je een stabiele versie of wil je de bloedsnede (ook wel Snapshot genoemd)? In dit geval kunt u selecteren wat u wilt gebruiken.

Merk op dat in het geval van het gebruik van bijvoorbeeld de X-Swat ppa met de Xorg-Edgers PPA, je een gemengde tussen de twee krijgt (met prioriteit naar Xorg-Edgers). Dit komt omdat beide proberen bijna dezelfde pakketten op te nemen, zodat ze elkaar zullen overschrijven en alleen de meest bijgewerkte zal worden getoond in je repositories (behalve als je het handmatig vertelt om het pakket van X-Swat te pakken).

Sommige PPA's kunnen sommige van uw pakketten bijwerken wanneer u ze aan uw repository toevoegt omdat ze met hun eigen versie een bepaald pakket overschrijven om de PPA-software correct op uw systeem te laten werken. Dit kunnen enkele codepakketten, Python-versies, enz. Zijn. Andere zoals de LibreOffice PPA zullen alle bestaan ​​van de OpenOffice van uw systeem verwijderen om de LibreOffice-pakketten daar te installeren. Lees in principe wat andere gebruikers hebben opgemerkt over een specifiek pakket en lees ook of het pakket compatibel is met uw Ubuntu-versie.

Zoals de onderstaande opmerking suggereert door Jeremy Bicha, kan een aantal bloedstollende (PPA's die zeer actueel blijven, inclusief het toevoegen van Alpha-, Beta- of RC-kwaliteitssoftware in de PPA) mogelijk uw hele systeem beschadigen (in het ergste geval). Jeremy noemt een voorbeeld van velen.


204
2018-04-17 17:57



Klopt dit voor de veelheid aan PPA's die je moet installeren om thema's als equinox, elementaire enz. Te krijgen? - abel
Ja. Het is van toepassing op elke PPA. Vergeet niet dat een PPA een eenvoudige manier is om een ​​programma of groep programma's bij te werken via iemand die er tijd voor vrijmaakt om ze te laten upgraden. Het is dus een plek waar iemand zijn of haar tijd besteedt aan iets dat moet worden bijgewerkt of dat compatibel is met het nieuwste / oudere systeem. Maar omdat het een mens is die het doet, kunnen er onderweg fouten zijn. - Luis Alvarado♦
Hoe ontdek je hoeveel gebruikers een PPA heeft? - damien
Geeft het toevoegen van een PPA hackers enkele gaten om doorheen te gaan? - mathmaniage


Om PPA's op het startvenster te ontwikkelen, moet de bijdrager het document hebben ondertekend ubuntu-gedragscode. Dit betekent dat de ontwikkelaar zich moet houden aan een minimum aantal normen.

Meestal moeten mensen dan de ubuntuforums raadplegen om te zien wie bepaalde ppa's heeft gebruikt en of ze problemen kunnen veroorzaken.

Voor een "novice" of "noob" is mijn beste advies om PPA's te vermijden totdat je er zeker van bent dat je een paar dingen begrijpt over de commandoregel, potentiële foutmeldingen en een paar dingen om problemen te diagnosticeren.

Om problemen met ppa's te verwijderen, kunt u het vaakst "ppa_purge"

Als u zich nerveus voelt, overweeg dan een beeldback-up van uw computer met een hulpmiddel zoals Clonezilla. Op die manier, als er dingen fout gaan en je het niet kunt oplossen, heb je in ieder geval een snel middel om je computer terug te zetten zoals hij was voordat je begon te spelen.

Dat gezegd hebbende, zijn ppa's uiterst nuttig om de nieuwste versies van software te krijgen - vooral voor degenen die niet elke zes maanden proberen te upgraden en zich houden aan de LTS-versie van ubuntu.


55
2018-04-17 17:27



Ik zou graag jouw antwoord bovenaan zien, alleen voor het advies aan beginners. :( - Braiam
@fossFreedom: ontvang ik automatische updates als ik installeer via ppa of apt-get install nut - Rajat Gupta
@ user01 - als de persoon die de PPA heeft gemaakt het pakket bijwerkt met een nieuwe versie, ja - krijgt u de update automatisch als u de PPA eerst hebt toegevoegd apt-get install package - fossfreedom♦
Natuurlijk wordt een kwaadwillende gebruiker niet gestopt door de gedragscode te ondertekenen ... - evilsoup
Back-ups zullen u niet beschermen tegen digitale diefstal (bijvoorbeeld een kwaadwillende PPA die uw browsercookies of ssh-sleutels thuis stuurt). Als u zich echt nerveus voelt, moet het veilig zijn om de PPA te installeren en uit te voeren in een virtuele machine, container of schroot. - joeytwiddle


Het is niet alleen een kwestie van malware, zoals al is gezegd. Het is ook mogelijk dat sommige software zich nog steeds in de testfase bevindt en niet gereed is voor productie. Als u het installeert en erop vertrouwt om uw werk gedaan te krijgen, zou u kunnen constateren dat het buggy is, onbetrouwbaar en kan crashen - waardoor u zonder het werk dat u hebt gedaan, achterblijft.

Een deel ervan kan ook niet goed opschieten met andere aspecten van Ubuntu, zoals Unity of Gnome, problemen veroorzaken die moeilijk te traceren zijn en misschien zelfs je systeem onstabiel maken.

Dit komt niet omdat de software slecht is, maar omdat het misschien nog niet volledig is getest, of omdat het beschikbaar is gemaakt, zodat mensen het kunnen testen, maar nog niet de bedoeling hebben om algemeen te worden vrijgegeven als productiesoftware. Dus moet je voorzichtig zijn, hoewel sommige ervan echt heel goed is.

Een aantal maanden geleden heb ik een aanbevolen pakket van een bepaalde PPA geïnstalleerd en het heeft mijn systeem genoeg vernield dat ik Ubuntu opnieuw moest installeren. Ik was een nieuwe gebruiker en wist niet wat ik anders moest doen; met een beetje meer kennis had ik het probleem kunnen oplossen en herstellen zonder opnieuw te installeren (hoewel dat ook nuttig was voor mij om Ubuntu te leren, maar als ik op mijn computer had gewerkt, was ik het kwijt) .

Dus wees voorzichtig, stel vragen, maak frequente back-ups (!!!) en weet dat malware onwaarschijnlijk (maar niet onmogelijk) is.


21
2017-12-01 20:52





Alle zorgen die door anderen hier worden genoemd, zijn uiterst belangrijk om te begrijpen. Dat gezegd hebbende, omdat dit open source is, kunnen we precies vertellen wat de PPA is veranderd ten opzichte van de versie van het pakket in Ubuntu. We zullen de PPA gebruiken van dit duplicaat als voorbeeld.

Eerst nemen we de bron van de PPA dget een tool die alle stukken van een Debian-bronpakket zal downloaden, gegeven een link naar de dsc het dossier:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ik heb die link gevonden door op 'Pakketdetails bekijken' te klikken:

View package details

En dan:

find dsc file

Vervolgens zullen we de bron van het pakket in het Ubuntu-archief krijgen:

apt-get source unity

Eindelijk, we zullen gebruiken debdiff om de verschillen tussen de bron van de twee pakketten te zien:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

De uitvoer van die opdracht is ongeveer driehonderd lijnen lang, dus ik leg het op een pasteben in plaats van rechtstreeks in het venster. Nu kan ik niet instaan ​​voor de goede code, want ik ken C ++ niet echt, maar het lijkt te doen wat het beweert en niet iets kwaadaardigs.


17
2018-06-05 14:14



+1, maar je link met de pastebin is verbroken. - unforgettableid


Een PPA is een webmap die software bevat die u kunt installeren. Het is echt niet veel ingewikkelder dan dat. Wanneer u een pakket installeert, doet u dat met rootprivileges en het pakket bevat scripts die worden uitgevoerd, zodat ze als root worden uitgevoerd. Dat betekent dat het installeren van software gevaarlijk is en dat u de ontwikkelaar of distributeur moet vertrouwen.

Een geschikt archief, PPA of anderszins, wordt regelmatig ondervraagd voor updates van de software die u hebt geïnstalleerd. Het "probleem" daarmee is dat iedereen een nieuwer softwarepakket kan bieden dat je hebt geïnstalleerd. U kunt bijvoorbeeld een PPA toevoegen om een ​​mooi thema te krijgen en automatische updates van dat thema. Maar als u eenmaal die repository hebt toegevoegd, kan de eigenaar bijvoorbeeld een gepatcht openssh-serverpakket toevoegen en dit zal verschijnen als een update in Ubuntu. Dit kan een jaar nadat u de PPA hebt toegevoegd, zodat u op updates moet letten.

Het PPA-systeem voorkomt echter dat derden met de pakketten knoeien, dus als u de ontwikkelaar / distributeur vertrouwt, zijn PPA's zeer veilig. Als u bijvoorbeeld Google Chrome installeert, voegen ze een PPA toe, zodat u er automatische updates voor ontvangt. Ze voegen "deb http://dl.google.com/linux/chrome/deb/ stable main ". Als de DNS-server die u gebruikt, is gehackt om ergens anders naar dl.google.com te verwijzen, dan konden ze gepatchte software pushen naar iedereen die Chrome had geïnstalleerd. Maar Ubuntu zou weigeren ze te installeren omdat ze niet met Googles konden worden ondertekend private sleutel, dus in dat opzicht zijn PPA's zeer veilig.

Het is niet mogelijk om te zeggen dat een PPA veilig is of niet. Het hangt af van de mensen die het gebruiken om software te verspreiden. Met gratis software kunnen mensen naar de bron kijken en zien of het veilig is of niet. Wanneer veel mensen een archief gebruiken, zoals Ubuntu reguliere archieven, dan heb je peer review. Kleine archieven met weinig gebruikers hebben dat niet, dus zijn ze minder betrouwbaar. De belangrijkste les is dat het niet uitmaakt welk systeem u ook gebruikt, u moet voorzichtig zijn bij het installeren van software.


13
2017-08-29 18:50





Voortbouwen op Het antwoord van Luis Alvarado, u moet op de hoogte zijn van deze risico's:

  • Schadelijke pakketten-Pakketten kunnen je proberen te schaden. Dit is gemakkelijk voor hen, omdat ze elke code kunnen uitvoeren met beheerdersrechten.
  • Slechte kwaliteit of incompatibele software- Een applicatie werkt mogelijk niet goed. Het kan per ongeluk schade veroorzaken door bijvoorbeeld te interfereren met andere software, uw gegevens te vernietigen of privégegevens te lekken.

en je moet op deze factoren letten:

  • Eerlijkheid van de beheerder- Zou de beheerder geheim proberen je kwaad te doen?
  • Beveiliging van de beheerder-Is de onderhouder kwetsbaar voor aanvallen door een derde partij?
  • Betrouwbaarheid van de beheerder- Zal de beheerder reageren op de noodzaak van updates binnen een redelijk tijdsbestek? Zijn ze toegewijd om de PPA op de lange termijn te handhaven?
  • Beveiliging van de repository- Zijn pakketten ondertekend door de beheerder?
  • Prestaties van de software- Is de software bugvrij en compatibel met uw systeem?

12
2017-11-06 17:48





De pakketten op PPA's worden niet gecontroleerd op zaken als malware. Dus terwijl iemand misschien iets als XBMC voor je inpakt, kunnen ze heel gemakkelijk ook wat spyware / malware toevoegen. Dit is waarom je niet zomaar een willekeurige PPA zou moeten toevoegen.


8
2017-12-01 20:16



kan je alsjeblieft zeggen wat precies XMBC is, ik ben best een nieuwe ubu - kernel_panic
XBMC is een mediacentrumsoftware. Het is goede en veilige software. Hij gebruikte het alleen als een voorbeeld, het kan elke software zijn. - Anonymous
wat kan een malware doen in ubuntu, het zou toestemming moeten vragen voor alles en nog wat, toch? - kernel_panic
Als je het eenmaal hebt geïnstalleerd (dat wil zeggen rootmachtiging heeft gegeven om de bestanden naar systeemdirectory's te kopiëren en aangepaste scripts uit te voeren), kan het alles doen wat het maar wil met het systeem. Daarom is het belangrijk om pakketten van vertrouwde bronnen te installeren. - arrange
Niet correct. Wanneer u een stukje software installeert, bent u root wanneer u dat doet. Het is vrij eenvoudig om die toestemming te nemen en slechte dingen te doen. - tgm4883


Wanneer u ppa toevoegt en er een programma doorheen installeert.

In principe geeft u toestemming om te verblijven in dat toegestane uitvoerbare gebied (/ bin / / sbin / / usr / bin /).

Als het programma zelf op de een of andere manier een systeem heeft / zal hebben, dan zal het niet klagen, omdat jij degene bent die ppa heeft toegevoegd omdat het betrouwbaar is.

Wanneer het programma uit de Ubuntu-repositories komt, worden ze eerst gecontroleerd (ik zou het grondig willen zeggen, maar ik weet het niet: P) dus die uit Ubuntu-repositories zijn absoluut vrij van malware / spyware.

Voor elke andere ppa is het u / u / gebruiker om te beslissen of u het wilt vertrouwen of niet.


3
2017-12-01 20:22



wat kan een malware doen in ubuntu, het zou toestemming moeten vragen voor alles en nog wat, toch? - kernel_panic
Wanneer u de software installeert, wordt om roottoestemming gevraagd (het scherm wordt donker en u voert uw wachtwoord in). Op dit punt zou het kunnen doen iets: verwijder alles uit uw box, installeer een keylogger, verander uw bureaubladachtergrond in Hello Kitty, iets. - SCdF
owh !!!! Hartelijk bedankt!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: tijdens het installeren vraagt ​​het om toestemming om in het uitvoerbare gebied te verblijven, eenmaal daar kan het eenvoudig toegang krijgen tot niet-su informatie. Er zijn programma's die toestemming nodig hebben om uit te voeren, maar als het programma zelf extra bagage (lees malware) heeft toegevoegd tijdens het verpakken, kan het zonder problemen worden uitgevoerd wanneer u uw wachtwoord intypt. - wisemonkey
Dev PPA's zijn de veiligste route en moeten ook de duur van de bijdrager zien op Launchpad. Deze factoren garanderen een veilig en stabiel systeem met behulp van PPA's voor de nieuwste programma's. Ik heb deze route gevonden om mijn LTS lang te laten werken met de specifieke nieuwe versies van programma's die ik gebruik. - Arup Roy Chowdhury