Безопасны ли PPA для добавления в мою систему и на какие "красные флажки" следует обратить внимание?

Я вижу много интересных программ, которые можно получить, только добавив "PPA" в систему, но, если я правильно понимаю, мы должны оставаться в рамках официальных "репозиториев" для добавления программного обеспечения в нашу систему.

Есть ли какой-нибудь способ для новичка узнать, безопасен ли "PPA" или его следует избегать? О каких советах должен знать пользователь при работе с PPA?.

ППА (Архив личных пакетов) используются для включения определенного программного обеспечения в ваш Ubuntu, Kubuntu или любой другой дистрибутив, совместимый с PPA. В "безопасность" PPA зависит в основном от 3 вещей:

  1. Кто создал PPA - Официальный PPA от WINE или LibreOffice, например ppa:libreoffice/ppa и PPA, который я создал сам, - это не одно и то же. Вы не знаете меня как сопровождающего PPA, поэтому проблема доверия и безопасности для меня ОЧЕНЬ низка (поскольку я мог создать поврежденный пакет, несовместимый пакет или что-то еще плохое), но для LibreOffice и PPA, которые они предлагают на своем веб-сайте, ЭТО дает определенную страховку. Таким образом, в зависимости от того, кто составил PPA, то, как долго он или она составляет и поддерживает PPA, будет немного влиять на то, насколько безопасно PPA для вас. PPA, как упоминалось выше в комментариях, не сертифицированы Canonical.

  2. Сколько пользователей использовали PPA - Например, у меня есть PPA от http://winehq.org в моем личном PPA. Доверили бы вы МНЕ 10 пользователей, которые подтверждают использование моего PPA, и 6 из них говорят, что это отстой, чем тому, который Скотт Ричи предлагает в качестве ppa:ubuntu-wine/ppa на официальном сайте winehq. У него тысячи пользователей (включая меня), которые используют его PPA и доверяют его работе. Это работа, за плечами которой уже несколько лет.

  3. Насколько обновлен PPA - Допустим, вы используете Ubuntu 10.04 или 10.10 и хотите использовать ЭТОТ специальный PPA. Вы обнаруживаете, что последнее обновление этого PPA было 20 лет назад .. O.o. Шансы, которые у вас есть на использование ЭТОГО PPA, равны нулю. Почему?. Потому что зависимости пакетов, которые нужны PPA, очень старые, и, возможно, обновленные изменяют так много кода, что они не будут работать с PPA и, возможно, нарушат вашу систему, если вы установите какой-либо из пакетов этого PPA в свою систему.

    То, насколько обновлен PPA, влияет на решение использовать его, если он / она хочет использовать ЭТОТ PPA. Если нет, то они предпочли бы пойти поискать другой, более современный. Вам не нужен Banshee 0.1 или Wine 0.0.0.1 или OpenOffice 0.1 Beta Alpha Omega Thundercat Edition с последней версией Ubuntu. То, что вам нужно, - это PPA, который обновлен до вашего текущего Ubuntu. Помните, что в PPA упоминается, для какой версии Ubuntu создана или для каких версий Ubuntu была создана.

    В качестве примера этого приведено изображение версий, поддерживаемых в Wine PPA:

    enter image description here

    Здесь вы можете видеть, что этот PPA поддерживается со времен динозавров.

    Одна ПЛОХАЯ вещь в том, насколько обновлен PPA, заключается в том, что сопровождающий PPA имеет тенденцию вставлять в PPA последнюю, самую лучшую и передовую версию определенного пакета. Недостатком этого является то, что если вы собираетесь протестировать последнюю версию чего-либо, вы обнаружите некоторые ошибки. Старайтесь придерживаться PPA, которые обновлены до стабильной версии, а не до нестабильной, тестовой или разработанной версии, поскольку она может содержать / будет содержать ошибки. Идея иметь последнюю версию также состоит в том, чтобы ПРОТЕСТИРОВАТЬ и сообщить, какие проблемы были обнаружены, и решить их. Примером этого являются ежедневные PPA Xorg и ежедневные PPA Mozilla. Вы будете получать около 3 ежедневных обновлений для X.org или Firefox, если вы получаете ежедневные газеты. Это связано с проделанной работой, и если вы используете их ежедневные PPA, это означает, что вы хотите помочь с поиском ошибок или разработкой, а НЕ для производственной среды.

В основном придерживайтесь этого пункта 3, и вы будете в безопасности. Всегда ищите производителя/сопровождающего PPA. Всегда проверяйте, многие ли пользователи использовали его, и всегда проверяйте, насколько обновлен PPA. Такие места, как OMGUbuntu, Фороникс, Слэшдот, The H, WebUp8 и даже здесь, в AskUbuntu, есть хорошие источники, чтобы найти много пользователей и статей, рассказывающих и рекомендующих некоторые PPA, которые они протестировали.

Стабильные примеры PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC, по МОЕМУ опыту, являются хорошими и безопасными PPA.

Полустабильный PPA - X-Swat PPA - это средний PPA между кровоточащим краем и стабильным.

Кровоточащий край PPA - Xorg-Edgers - это передовой PPA, хотя я должен упомянуть, что после 12.04 этот PPA становится все более и более стабильным. Я бы все равно пометил его как bleeding edge, но он достаточно стабилен для конечных пользователей.

Выбираемый PPA - Ручной тормоз предлагает здесь способ для пользователя выбрать, хотите ли вы стабильную версию или хотите версию bleeding edge (также называемую моментальным снимком). В этом случае вы можете выбрать то, что вы хотите использовать.

Обратите внимание, что в случае использования, например, X-Swat ppa с Xorg-Edgers PPA, вы получите смешанный результат между ними (с приоритетом в сторону Xorg-Edgers). Это связано с тем, что оба пытаются включить почти одни и те же пакеты, поэтому они будут перезаписывать друг друга, и в ваших репозиториях будет отображаться только самый обновленный из них (за исключением случаев, когда вы вручную укажете ему захватить пакет из X-Swat).

Некоторые PPA могут обновлять некоторые из ваших пакетов, когда вы добавляете их в свой репозиторий, потому что они перезапишут своей собственной версией определенный пакет, чтобы программное обеспечение PPA работало в вашей системе правильно. Это могут быть некоторые пакеты кода, версии python и т. Д. Другие, Такие как LibreOffice PPA, удалят все существующие OpenOffice из вашей системы, чтобы установить там пакеты LibreOffice. В основном читайте, что другие пользователи прокомментировали о конкретном пакете, а также читайте, совместим ли пакет с вашей версией Ubuntu.

Как следует из приведенного ниже комментария Джереми Биша, некоторые передовые технологии (PPA, которые остаются очень актуальными, включая добавление в PPA программного обеспечения альфа-, бета-версии или RC-качества) могут потенциально повредить всю вашу систему (в худшем случае). Джереми приводит пример из многих.

Для разработки PPA на launchpad участник должен подписать кодекс поведения ubuntu. Это означает, что разработчик должен соблюдать минимальный набор стандартов.

Обычно люди должны затем проконсультироваться с ubuntuforums, чтобы узнать, кто использовал конкретные ppa и могут ли они вызвать какие-либо проблемы.

Для "новичка" или "новичка" - мой лучший совет - держаться подальше от PPA, пока вы не будете уверены, что понимаете несколько вещей о командной строке, потенциальных сообщениях об ошибках и некоторых способах диагностики проблем.

Чтобы устранить проблемы, вызывающие ppa, вы можете большую часть времени использовать "ppa_purge"

Если вы нервничаете, подумайте о создании резервной копии образа вашего компьютера с помощью такого инструмента, как клонезилла. Таким образом, если что-то пойдет не так, и вы не сможете это исправить, по крайней мере, у вас есть быстрый способ восстановить ваш компьютер таким, каким он был до того, как вы начали играть.

Сказав все это, ppa чрезвычайно полезны для получения последних версий программного обеспечения - особенно для тех, кто не пытается обновляться каждые 6 месяцев и придерживается LTS-версии ubuntu.

Все проблемы, перечисленные здесь другими, чрезвычайно важны для понимания. Тем не менее, поскольку это с открытым исходным кодом, мы можем точно сказать, что изменилось в PPA по сравнению с версией пакета в Ubuntu. Мы будем использовать PPA из этот дубликат в качестве примера.

Сначала мы возьмем источник из PPA dget инструмент, который загрузит все части исходного пакета Debian с указанием ссылки на dsc файл:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Я нашел эту ссылку, нажав "Просмотреть сведения о пакете".:

View package details

И затем:

find dsc file

Далее мы получим исходный код пакета в архиве Ubuntu:

apt-get source unity

Наконец, мы будем использовать debdiff чтобы увидеть различия между исходным кодом двух пакетов:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Выходные данные этой команды имеют длину около трехсот строк, так что я положу его на лепешку вместо того, чтобы прямо в окно. Теперь я не могу ручаться за то, насколько хорош код, поскольку я на самом деле не знаю C++, но, похоже, он делает то, что утверждает, а не что-то вредоносное.

Как уже было сказано, дело не только в вредоносном ПО. Дело также в том, что часть программного обеспечения действительно может все еще находиться на стадии тестирования и не готова к использованию в производстве. Если вы установите его и будете полагаться на него для выполнения работы, вы можете обнаружить, что он глючит, ненадежен и может выйти из строя, оставив вас без проделанной работы.

Некоторые из них также могут плохо сочетаться с другими аспектами Ubuntu, такими как Unity или Gnome, вызывая проблемы, которые трудно отследить, и, возможно, даже делая вашу систему нестабильной.

Это происходит не потому, что программное обеспечение плохое, а потому, что оно, возможно, еще не было полностью протестировано или потому, что оно было доступно для того, чтобы люди могли его протестировать, но еще не предназначено для общего выпуска в качестве производственного программного обеспечения. Так что вам следует соблюдать осторожность, хотя некоторые из них действительно очень хороши.

Несколько месяцев назад я установил рекомендуемый пакет от определенного PPA, и он настолько разрушил мою систему, что мне пришлось переустановить Ubuntu. Я был новым пользователем и не знал, что еще делать; имея немного больше знаний, я мог бы решить проблему и восстановить ее без переустановки (хотя это тоже было полезно для меня при изучении Ubuntu, но если бы я работал с сохранением на своей машине, я бы потеряли его).

Так что будьте осторожны, задавайте вопросы, делайте частые резервные копии (!!!) и знайте, что вредоносное ПО маловероятно (хотя и не невозможно).

PPA - это веб-папка, содержащая программное обеспечение, которое вы можете установить. На самом деле все не намного сложнее. Когда вы устанавливаете пакет, вы делаете это с правами суперпользователя, и в пакете есть сценарии, которые запускаются, поэтому они запускаются от имени суперпользователя. Это означает, что установка любого программного обеспечения опасна, и вам нужно доверять разработчику или дистрибьютору.

Архив apt, PPA или другой, регулярно проверяется на наличие обновлений установленного вами программного обеспечения. "Проблема" с этим заключается в том, что любой желающий может предоставить более новый пакет программного обеспечения, который вы установили. Например, вы можете добавить PPA, чтобы получить красивую тему и автоматическое обновление этой темы. Но как только вы добавите этот репозиторий, владелец может добавить, например, исправленный пакет openssh-server, и он появится как обновление в Ubuntu. Это можно сделать через год после добавления PPA, поэтому вам нужно обращать внимание на обновления.

Однако система PPA предотвращает вмешательство третьих сторон в пакеты, поэтому, если вы доверяете разработчику / дистрибьютору, то PPA очень безопасны. Например, если вы устанавливаете Google Chrome, они добавляют PPA, чтобы вы получали для него автоматические обновления. Они добавляют "деб http://dl.google.com/linux/chrome/deb/ стабильная главная". Если используемый вами DNS-сервер был взломан, чтобы указать dl.google.com где-нибудь в другом месте, тогда они могли бы распространять исправленное программное обеспечение на всех, кто установил Chrome. Но Ubuntu отказалась бы устанавливать их, поскольку они не могли быть подписаны с помощью закрытого ключа Googles. Так что в этом отношении PPA очень безопасны.

Невозможно сказать, является ли PPA безопасным или нет. Это зависит от людей, которые используют его для распространения программного обеспечения. С помощью свободного программного обеспечения люди могут посмотреть на исходный код и посмотреть, безопасно это или нет. Когда много людей используют архив, например, обычные архивы Ubuntu, тогда у вас есть экспертная оценка. В небольших архивах с небольшим количеством пользователей этого нет, поэтому они менее надежны. Главный урок заключается в том, что независимо от того, какую систему вы используете, вы должны соблюдать осторожность при установке программного обеспечения.

Опираясь на Ответ Луиса Альварадо, вы должны быть осведомлены об этих рисках:

  • Вредоносные пакеты— Посылки могут попытаться причинить вам вред. Это легко для них, потому что они могут запускать любой код с правами администратора.
  • Некачественное или несовместимое программное обеспечение— Приложение может работать неправильно. Это может случайно привести к повреждению, например, в результате вмешательства в работу другого программного обеспечения, уничтожения ваших данных или утечки личной информации.

и вы должны быть внимательны к этим факторам:

  • Честность сопровождающего— Может ли сопровождающий тайно попытаться причинить вам вред?
  • Безопасность сопровождающего— Является ли сопровождающий уязвимым для атак третьей стороны?
  • Надежность сопровождающего— Будет ли сопровождающий реагировать на необходимость обновлений в разумные сроки? Привержены ли они сохранению PPA в долгосрочной перспективе?
  • Безопасность хранилища— Подписаны ли пакеты сопровождающим?
  • Производительность программного обеспечения— Не содержит ли программное обеспечение ошибок и совместимо ли оно с вашей системой?

Пакеты на PPA не проверяются на наличие таких вещей, как вредоносное ПО. Таким образом, в то время как кто-то может упаковывать для вас что-то вроде XBMC, он также может очень легко добавлять некоторые шпионские / вредоносные программы. Вот почему вы не должны просто добавлять какие-либо случайные PPA.

Когда вы добавляете ppa и устанавливаете программу через него.

По сути, вы даете разрешение на размещение этой программы в разрешенной исполняемой области (/bin/ /sbin/ /usr/bin/).

Теперь, если сама программа является / каким-то образом является вредоносной, система не будет жаловаться на это, поскольку вы тот, кто добавил ppa, считая его заслуживающим доверия.

Когда программа поступает из репозиториев Ubuntu, они сначала проверяются (я хотел бы сказать тщательно, но я не знаю : P), поэтому программы из репозиториев Ubuntu наверняка свободны от вредоносных программ / шпионских программ.

Для любого другого ppa вам / пользователю решать, доверять ему или нет.

Смотрите также: security - Is there any guarantee that software from Launchpad PPAs is free from viruses and backdoor threats? - Ask Ubuntu

Вы могли бы проверить, есть ли в наличии пакет “snappy”. Они, как правило, ограничены правилами безопасности. Вы должны явно предоставить определенные разрешения некоторым снимкам, хотя общая проблема та же (вам нужно доверять издателю).