Вопрос Безопасны ли PPA для добавления в мою систему и какие «красные флаги» следует отслеживать?


Я вижу много интересных программ, которые могут быть получены только путем добавления «PPA» в систему, но если я правильно понимаю, мы должны оставаться в официальных «хранилищах» для добавления программного обеспечения в нашу систему.

Есть ли способ для новичков узнать, безопасен ли «PPA» или его следует избегать? Какие советы должен знать пользователь при работе с PPA ?.


283
2018-04-17 16:31


происхождения


Смотрите также: askubuntu.com/questions/7662/... - Mechanical snail
Вы можете проверить, есть ли snappy пакет также доступен. Они, как правило, ограничены правилами безопасности. Вы должны явно предоставить определенные разрешения для некоторых привязок, хотя общая проблема одинакова (вам нужно доверять издателю). - Ken Sharp


ответы:


PPA (Архив личного пакета) используются для включения специального программного обеспечения в ваш Ubuntu, Kubuntu или любой другой дистрибутив, совместимый с PPA. "безопасность«PPA зависит в основном от трех вещей:

  1. Кто сделал PPA - официальный PPA от WINE или LibreOffice, как PPA: LibreOffice / PPA и PPA, который я создал сам, не то же самое. Вы не знаете меня как поддерживающего PPA, поэтому проблема доверия и безопасность для меня ОЧЕНЬ низкая (так как я мог сделать поврежденный пакет, несовместимый пакет или что-то еще плохое), но для LibreOffice и PPA, которые они предлагают на своем веб-сайте , ЧТО дает ему определенную защитную сетку. Поэтому, в зависимости от того, кто сделал PPA, как долго он или она занимается разработкой и поддержанием PPA, немного повлияет на то, насколько безопасен PPA для вас. PPA, как упомянуто выше в комментариях, не сертифицированы Canonical.

  2. Сколько пользователей использовали PPA - Например, у меня есть PPA из http://winehq.org в моем личном PPA. Можете ли вы доверять ME с 10 пользователями, которые подтверждают использование моего PPA, у которого 6 из них говорят, что это отстой, чем тот, который Скотт Ричи предлагает в качестве PPA: убунт вино / PPA на официальном сайте winehq. У него тысячи пользователей (включая меня), которые используют его PPA и доверяют его работе. Это работа, которая на несколько лет отстает от нее.

  3. Как обновляется PPA - Скажем, вы используете Ubuntu 10.04 или 10.10, и вы хотите использовать специальный PPA. Вы узнаете, что последнее обновление для этого PPA было 20 лет назад .. O.o. Шансы, которые вы имеете на использование THAT PPA, равны нулю. Зачем?. Поскольку зависимости пакетов, которые нужны PPA, очень старые, и, возможно, обновленные изменят так много кода, что они не будут работать с PPA и, возможно, нарушают вашу систему, если вы установите какие-либо пакеты этого PPA в вашу систему.

    Насколько обновленный PPA влияет на решение использовать его, если он хочет использовать THAT PPA. Если нет, они предпочтут искать еще один новый. Вы не хотите, чтобы Banshee 0.1 или Wine 0.0.0.1 или OpenOffice 0.1 Beta Alpha Omega Thundercat Edition с последним Ubuntu. Вы хотите, чтобы PPA обновлялся до вашего текущего Ubuntu. Помните, что в PPA упоминается, для какой версии Ubuntu сделана или для нескольких версий Ubuntu.

    В качестве примера можно привести образ версий, поддерживаемых в Wine PPA:

    enter image description here

    Здесь вы можете увидеть, что этот PPA поддерживается со времен динозавров.

    Одна БАДная вещь о том, как обновить PPA, если поддерживающий PPA стремится вдавить в PPA последнюю, самую большую и самую передовую версию конкретного пакета. Нижняя сторона этого заключается в том, что если вы собираетесь протестировать последнее из чего-то, вы собираетесь найти некоторые ошибки. Попытайтесь придерживаться PPA, которые обновляются до стабильной версии, а не нестабильной, тестирующей или dev-версии, поскольку она может содержать / содержать ошибки. Идея иметь последнее - это также ТЕСТ и сказать, какие проблемы были найдены и решить их. Примером этого могут служить ежедневные протоколы Xorg PPAs и Daily Mozilla. Вы получите около 3 ежедневных обновлений для X.org или Firefox, если вы получите ежедневные письма. Это из-за работы, которую вы поставили, и если вы используете их ежедневные PPA, это означает, что вы хотите помочь в поиске или разработке ошибок и НЕ для производственной среды.

В основном придерживайтесь этого 3, и вы будете в безопасности. Всегда ищите производителя / исполнителя PPA. Всегда смотрите, использовали ли многие пользователи и всегда видят, насколько обновлен PPA. Места, подобные OMGUbuntu, Phoronix, Slashdot, H, WebUp8 и даже здесь, в AskUbuntu, являются хорошими источниками, чтобы найти много пользователей и статей, которые говорят и рекомендуют некоторые PPA, которые они тестировали.

Стабильные примеры PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC - это хорошие и безопасные PPA от моего опыта.

Полу-стабильный PPA - X-Swat PPA - это средний PPA между краем кровотечения и стабильностью.

Bleeding Edge PPA - Xorg-Edgers - это кровоточащий край PPA, хотя я должен упомянуть, что после 12.04 этот PPA стал все более стабильным. Я бы по-прежнему отмечал это как кровотечение, но он достаточно стабилен для конечных пользователей.

Выбираемый PPA - Предложения ручного тормоза Вот способ для пользователя выбрать, хотите ли вы стабильную версию или вы хотите, чтобы кромка кровотечения (также называемая снимком). В этом случае вы можете выбрать, что хотите использовать.

Обратите внимание, что в случае использования, например, X-Swat ppa с PPA Xorg-Edgers, вы получите смешанный между ними (с приоритетом по отношению к Xorg-Edgers). Это связано с тем, что оба пытаются включить почти одни и те же пакеты, поэтому они перезаписывают друг друга, и в ваших репозиториях будет отображаться только самый обновленный (за исключением того, что вы вручную скажете, чтобы он захватил пакет из X-Swat).

Некоторые PPA могут обновлять некоторые из ваших пакетов, когда вы добавляете их в свой репозиторий, потому что они будут перезаписывать своей собственной версией определенный пакет, чтобы программное обеспечение PPA правильно работало в вашей системе. Это могут быть некоторые пакеты кода, версии python и т. Д. Другие, такие как LibreOffice PPA, удаляют все существование OpenOffice из вашей системы, чтобы установить там пакеты LibreOffice. В основном прочитайте, что другие пользователи прокомментировали о конкретном пакете, а также прочитайте, совместим ли пакет с вашей версией Ubuntu.

Как следует из приведенного ниже комментария Джереми Бича, некоторые кровотечения (PPA, которые остаются очень современными, включая добавление программного обеспечения Alpha, Beta или RC в PPA) могут потенциально повредить всю вашу систему (в худшем случае). Джереми упоминает пример многих.


204
2018-04-17 17:57



Это верно для множества PPA, которые вам нужно установить для получения таких тем, как равноденствие, элементарный и т. Д.? - abel
Да. Это относится к любому PPA. Помните, что PPA - это просто простой способ обновить программу или группу программ через кого-то, кто берет на себя время, чтобы обновить их. Таким образом, это место, где кто-то посвящает свое время тому, чтобы что-то обновлялось или совместимо с последней / старой системой. Но поскольку это человек, который это делает, на пути могут быть ошибки. - Luis Alvarado♦
Как узнать, сколько пользователей имеет PPA? - damien
Добавляет ли PPA хакеров какие-то отверстия для прохождения? - mathmaniage


Чтобы разработать PPA на панели запуска, участник должен подписал Кодекс поведения ubuntu, Это означает, что разработчик должен соблюдать минимальный набор стандартов.

Обычно люди должны проконсультироваться с ubuntuforums, чтобы узнать, кто использовал определенные ppa, и могут ли они вызывать какие-либо проблемы.

Для «новичков» или «нубов» мой лучший совет - избегать PPA, пока не почувствуете уверенность в том, что вы понимаете несколько вещей о командной строке, возможных сообщениях об ошибках и о некоторых вещах, как диагностировать проблемы.

Чтобы удалить проблемы с ppa, вы можете использовать большую часть времени "ppa_purge"

Если вы нервничаете, подумайте о резервном копировании образа своего компьютера с помощью инструмента Clonezilla, Таким образом, если все пойдет не так, и вы не можете его решить, по крайней мере, у вас есть быстрое средство для восстановления вашего компьютера до того, как он начал играть.

Сказав все это, ppa чрезвычайно полезны для получения последних версий программного обеспечения - особенно для тех, кто не пытается обновляться каждые 6 месяцев и придерживается версии LTS ubuntu.


55
2018-04-17 17:27



Мне бы хотелось, чтобы ваш ответ был наверху только для советов начинающим. :( - Braiam
@fossFreedom: получаю автоматические обновления, если я устанавливаю через ppa или apt-get install утилита - Rajat Gupta
@ user01 - если человек, создавший PPA, обновляет пакет с новой версией, да - вы автоматически получите обновление, если вы добавили PPA сначала apt-get install package - fossfreedom♦
Конечно, злонамеренный пользователь не будет остановлен, чтобы подписать код поведения ... - evilsoup
Резервные копии не избавят вас от цифровой кражи (например, вредоносная PPA, отправляющая файлы cookie браузера или ключи ssh на родину). Если вы действительно нервничаете, должно быть безопасно устанавливать и запускать PPA внутри виртуальной машины, контейнера или schroot, - joeytwiddle


Как уже говорилось, это не просто вредоносное ПО. Кроме того, некоторые из программных продуктов действительно могут быть на стадии тестирования и не готовы к использованию в производстве. Если вы установите его и положитесь на него, чтобы выполнить работу, вы можете обнаружить, что он глючит, ненадежен и может потерпеть крах - оставив вас без работы.

Некоторые из них также не могут хорошо сочетаться с другими аспектами Ubuntu, такими как Unity или Gnome, что вызывает проблемы, которые трудно отследить, и, возможно, даже сделать вашу систему нестабильной.

Это происходит не потому, что программное обеспечение плохое, а потому, что оно, возможно, еще не полностью протестировано, или потому, что оно было доступно, чтобы люди могли его протестировать, но еще не предназначались для публикации в качестве программного обеспечения для производства. Поэтому вам следует проявлять осторожность, хотя некоторые из них действительно неплохие.

Несколько месяцев назад я установил рекомендуемый пакет из определенного PPA, и он настолько сильно повредил мою систему, что мне пришлось переустановить Ubuntu. Я был новым пользователем и не знал, что еще делать; с немного большим количеством знаний, я мог бы решить проблему и восстановить ее, не переустанавливая (хотя это тоже было полезно для изучения Ubuntu, но если бы я работал на моей машине, я бы ее потерял) ,

Поэтому будьте осторожны, задавайте вопросы, делайте частые резервные копии (!!!) и знайте, что вредоносное ПО маловероятно (хотя и не невозможно).


21
2017-12-01 20:52





Все проблемы, перечисленные другими здесь, чрезвычайно важны для понимания. Тем не менее, поскольку это открытый исходный код, мы можем точно сказать, что PPA изменило с версии пакета в Ubuntu. Мы будем использовать PPA из этот дубликат В качестве примера.

Сначала мы возьмем источник из PPA dget инструмент, который загрузит все части исходного пакета Debian с ссылкой на dsc файл:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Я нашел эту ссылку, нажав «Просмотреть сведения о пакете»:

View package details

А потом:

find dsc file

Затем мы получим исходный код пакета в архиве Ubuntu:

apt-get source unity

Наконец, мы будем использовать debdiff чтобы увидеть различия между источником двух пакетов:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Результат этой команды составляет около трехсот строк, поэтому я положил его на пастабин а не прямо в окно. Теперь я не могу ручаться за то, насколько хорош код, так как я действительно не знаю C ++, но, похоже, он делает то, что он утверждает, а не что-то злонамеренное.


17
2018-06-05 14:14



+1, но ваша ссылка на pastebin нарушена. - unforgettableid


PPA - это веб-папка, содержащая программное обеспечение, которое вы можете установить. Это действительно не намного сложнее. Когда вы устанавливаете пакет, вы делаете это с правами root, а в пакете запускаются скрипты, поэтому они запускаются с правами root. Это означает, что установка любого программного обеспечения опасна, и вам нужно доверять разработчику или дистрибьютору.

APT-архив, PPA или иначе, регулярно проверяется на наличие обновлений программного обеспечения, которое вы установили. «Проблема» в том, что каждый может предоставить более новый пакет программного обеспечения, которое вы установили. Например, вы можете добавить PPA, чтобы получить приятную тему и автоматические обновления этой темы. Но как только вы добавили этот репозиторий, владелец может добавить патч-пакет openssh-server, например, и он появится как обновление в Ubuntu. Это можно сделать через год после добавления PPA, поэтому вам нужно обратить внимание на обновления.

Однако система PPA предотвращает несанкционированное использование сторонних сторон пакетами, поэтому, если вы доверяете разработчику / дистрибьютору, PPA очень безопасны. Например, если вы устанавливаете Google Chrome, то они добавляют PPA, чтобы получать автоматические обновления для него. Они добавляют «deb http://dl.google.com/linux/chrome/deb/ стабильный основной ».Если DNS-сервер, который вы используете, был взломан, чтобы указать dl.google.com где-то в другом месте, то они могли бы направить исправленное программное обеспечение всем, кто установил Chrome. Но Ubuntu отказался устанавливать их, поскольку они не могли быть подписаны с Google частный ключ. Поэтому в этом отношении PPA очень безопасны.

Нельзя сказать, что PPA безопасен или нет. Это зависит от людей, которые используют его для распространения программного обеспечения. С помощью бесплатного программного обеспечения люди могут посмотреть на источник и посмотреть, безопасно это или нет. Когда многие люди используют архив, например, обычные архивы Ubuntu, у вас есть экспертная оценка. У небольших архивов с несколькими пользователями этого нет, поэтому они менее надежны. Основной урок заключается в том, что независимо от того, какую систему вы используете, вы должны следить за установкой программного обеспечения.


13
2017-08-29 18:50





Основываясь на Ответ Луиса Альварадо, вы должны знать об этих рисках:

  • Вредоносные программы-Пакеты могут попытаться причинить вам вред. Это легко для них, потому что они могут запускать любой код с административными привилегиями.
  • Плохое качество или несовместимое программное обеспечение-При использовании приложения может не работать. Это может случайно нанести ущерб, например, вмешательство в другое программное обеспечение, уничтожение ваших данных или утечку конфиденциальной информации.

и вы должны быть внимательны к этим факторам:

  • Честность сопровождающего-Может ли тот, кто сопровождает, тайно пытается навредить тебе?
  • Безопасность сопровождающего-Использователь, уязвимый для атаки третьей стороны?
  • Надежность сопровождающего-После того, как сопровождающий отвечает на необходимость обновления в разумные сроки? Являются ли они приверженными поддержанию PPA в долгосрочной перспективе?
  • Безопасность хранилища-Какие пакеты подписываются сопровождающим?
  • Производительность программного обеспечения-Убедитесь, что программное обеспечение не содержит ошибок и совместимо с вашей системой?

12
2017-11-06 17:48





Пакеты на PPA не проверяются на такие вещи, как вредоносное ПО. Поэтому, когда кто-то может упаковать что-то вроде XBMC для вас, они также могут легко добавить и шпионское / вредоносное ПО. Вот почему вы не должны просто добавлять какие-либо случайные PPA.


8
2017-12-01 20:16



может у, пожалуйста, скажите, что такое XMBC, я довольно новый ubu - kernel_panic
XBMC - это программное обеспечение медиацентра. Это хорошее и безопасное программное обеспечение. Он использовал его только в качестве примера, это могло быть любое программное обеспечение. - Anonymous
что может сделать вредоносное ПО в ubuntu, он должен спросить разрешение на что угодно и все правильно? - kernel_panic
После того, как вы его установили (то есть, если у вас есть права на копирование своих файлов в системные каталоги и запуск пользовательских сценариев), он может делать все, что пожелает, с помощью системы. Вот почему очень важно устанавливать пакеты из надежных источников. - arrange
Неправильно. Когда вы устанавливаете часть программного обеспечения, вы делаете это root. Довольно легко принять это разрешение и начать делать плохие вещи. - tgm4883


Когда вы добавляете ppa и устанавливаете через нее программу.

В основном вы даете разрешение на размещение этой программы в разрешенной области исполняемого файла (/ bin / / sbin / / usr / bin /).

Теперь, если сама программа имеет / имеет какое-то вредоносное ПО, тогда система не будет жаловаться на это, поскольку вы тот, кто добавил ppa, считая его заслуживающим доверия.

Когда программа поступает из репозиториев Ubuntu, они сначала проверяются (я хотел бы сказать полностью, но я не знаю: P), поэтому те из репозиториев Ubuntu не содержат вредоносных программ / шпионских программ.

Для любого другого ppa его вам / пользователю решать, доверять ему или нет.


3
2017-12-01 20:22



что может сделать вредоносное ПО в ubuntu, он должен спросить разрешение на что угодно и все правильно? - kernel_panic
Когда вы устанавливаете программное обеспечение, оно запрашивает разрешение root (экран темнеет, и вы вводите свой пароль). На данный момент это может сделать что-нибудь: удалите все из своей коробки, установите кейлоггер, измените фон рабочего стола на Hello Kitty, что-нибудь, - SCdF
OWH !!!! Большое спасибо!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: во время установки он запрашивает разрешение на проживание в исполняемой области, как только он там, он может легко получить доступ к любой информации, не относящейся к делу. Существуют программы, которые нуждаются в su разрешение на выполнение, однако, если в программе есть дополнительный багаж (считывание вредоносного ПО), добавленного при упаковке, он может выполняться без проблем при вводе пароля. - wisemonkey
Dev PPAs - самый безопасный маршрут, и также необходимо увидеть продолжительность участия в Launchpad. Эти факторы гарантируют безопасную и стабильную систему, использующую PPA для последних программ. Я нашел этот маршрут, чтобы поддерживать LTS в работе с конкретными новыми версиями программ, которые я использую. - Arup Roy Chowdhury