I PPA sono sicuri da aggiungere al mio sistema e quali sono alcune "bandiere rosse" a cui prestare attenzione?

280

Vedo molti programmi interessanti là fuori che possono essere ottenuti aggiungendo un "PPA" al sistema ma, se sto capendo correttamente, dovremmo stare all'interno dei "repository" ufficiali per aggiungere software al nostro sistema .

C'è un modo per un novizio di sapere se un "PPA" è sicuro o se dovrebbe essere evitato? Quali consigli dovresti sapere all'utente quando si tratta di un PPA?.

    
posta Rob 17.04.2011 - 18:31
fonte

8 risposte

202

PPA ( Archivio pacchetti personali ) vengono utilizzati per includere un software specifico su Ubuntu, Kubuntu o qualsiasi altro PPA compatibile distro. La " sicurezza " di un PPA dipende principalmente da 3 cose:

  1. Chi ha creato il PPA - Un PPA ufficiale di WINE o LibreOffice come ppa: libreoffice / ppa e un PPA che ho creato personalmente non sono gli stessi. Non mi conosci come manutentore PPA, quindi il problema di affidabilità e sicurezza è MOLTO basso per me (Dato che avrei potuto creare un pacchetto corrotto, pacchetto incompatibile o qualsiasi altra cosa cattiva), ma per LibreOffice e il PPA che offrono nel loro sito web , CHE dà una certa rete di sicurezza ad esso. Quindi, a seconda di chi ha creato il PPA, quanto tempo è riuscito a fare e mantenere il PPA influenzerà un po 'la sicurezza del PPA per te. I PPA come menzionato sopra nei commenti non sono certificati da Canonical.

  2. Quanti utenti hanno utilizzato il PPA - Ad esempio, ho un PPA dal link nel mio PPA personale. Ti fideresti di ME con 10 utenti che confermano l'utilizzo del mio PPA avendo 6 di loro dicendo che fa schifo che a quello che Scott Ritchie offre come ppa: ubuntu-wine / ppa nel sito web ufficiale di winehq. Ha migliaia di utenti (incluso me) che usano il suo PPA e si fidano del suo lavoro. Questo è un lavoro che ha diversi anni dietro di esso.

  3. Quanto è aggiornato il PPA - Diciamo che stai usando Ubuntu 10.04 o 10.10 e vuoi usare quel PPA speciale. Scoprirai che l'ultimo aggiornamento a quel PPA era di 20 anni fa. O.o. Le possibilità che hai di usare THAT PPA sono nulle. Perché?. Poiché le dipendenze del pacchetto di cui PPA ha bisogno sono molto vecchie e forse quelle aggiornate cambiano così tanto codice che non funzioneranno con il PPA e probabilmente interromperanno il sistema se installerai uno qualsiasi dei pacchetti di quel PPA sul tuo sistema.

    In che modo l'aggiornamento di un PPA influenza la decisione di utilizzarlo se desidera utilizzare tale PPA. Altrimenti preferirebbero andare a cercarne un altro più aggiornato. Non vuoi Banshee 0.1 o Wine 0.0.0.1 o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition con l'ultima versione di Ubuntu. Quello che vuoi è un PPA che viene aggiornato alla tua attuale Ubuntu. Ricorda che un PPA menziona per quale versione di Ubuntu è stata creata o per cui sono state create più versioni di Ubuntu.

    Come esempio di questo ecco un'immagine delle versioni supportate nel PPA Wine:

    Qui puoi vedere che questo PPA è supportato dai Dinosauri.

    Una cosa BAD su come è aggiornato un PPA, se il manutentore PPA tende a spingere nel PPA la versione più recente, più grande e all'avanguardia di un pacchetto specifico. Il lato negativo di questo è che se stai andando a testare l'ultima di qualcosa, stai andando a trovare alcuni bug. Cerca di restare fedele ai PPA che vengono aggiornati a una versione stabile e non a una versione unstable, testing o dev poiché potrebbero / conterranno bug. L'idea di avere l'ultima è anche quella di TEST e dire quali problemi sono stati trovati e risolverli. Un esempio di questo sono i PPA giornalieri di Xorg e i PPA giornalieri di Mozilla. Riceverai circa 3 aggiornamenti giornalieri per X.org o Firefox se ricevi i quotidiani. Ciò è dovuto al lavoro svolto e se si utilizzano i PPA giornalieri significa che si desidera aiutare con la ricerca o lo sviluppo di bug e NON con un ambiente di produzione.

Sostanzialmente con questo 3 e sarai al sicuro. Cerca sempre il creatore / manutentore del PPA. Controlla sempre se molti utenti lo hanno usato e vedi sempre come è aggiornato il PPA. Luoghi come OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 e anche qui in AskUbuntu sono buone fonti per trovare molti utenti e articoli che parlano e raccomandano alcuni PPA che hanno provato.

Esempi di PPA stabili - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sono PPA buoni e sicuri dalla mia esperienza.

PPA semi stabile - PPA X-Swat è un PPA centrale tra bordo sanguinante e stabile.

PPA di Bleeding Edge - Xorg-Edgers è un PPA sanguinante, sebbene dovrei ricordare che dopo la 12.04 questo PPA è diventato sempre più stabile. Lo segnerei comunque come bordo sanguinante ma è abbastanza stabile per gli utenti finali.

PPA selezionabile - Il freno a mano offre qui un modo per scegliere, vuoi una stalla versione o vuoi la versione con bordo sanguinante (detto anche Snapshot). In questo caso è possibile selezionare ciò che si desidera utilizzare.

Si noti che nel caso dell'uso del ppa X-Swat con il PPA Xorg-Edgers, si otterrà un misto tra i due (con priorità verso Xorg-Edgers). Questo perché entrambi stanno tentando di includere quasi gli stessi pacchetti, quindi si sovrascriveranno l'un l'altro e solo il più aggiornato verrà mostrato nei repository (eccetto se lo dirai manualmente per prendere il pacchetto da X-Swat).

Alcuni PPA potrebbero aggiornare alcuni dei tuoi pacchetti quando li aggiungi al tuo repository perché sovrascriveranno con la loro versione un determinato pacchetto per far funzionare correttamente il software PPA sul tuo sistema. Potrebbe trattarsi di pacchetti di codice, versioni python, ecc. Altro come il PPA di LibreOffice rimuoverà tutta l'esistenza di OpenOffice dal tuo sistema per installare lì i pacchetti di LibreOffice. In pratica leggi ciò che altri utenti hanno commentato su un pacchetto specifico e leggi anche se il pacchetto è compatibile con la tua versione di Ubuntu.

Come suggerito dal commento di Jeremy Bicha, alcuni aspetti negativi (i PPA che rimangono aggiornati tra cui l'aggiunta di software di qualità Alpha, Beta o RC nel PPA) potrebbero potenzialmente danneggiare l'intero sistema (nel peggiore dei casi). Jeremy menziona un esempio di molti.

    
risposta data Luis Alvarado 17.04.2011 - 19:57
fonte
55

Per sviluppare PPA sul launchpad, il contributore deve aver firmato il codice di condotta di ubuntu . Ciò significa che lo sviluppatore deve rispettare un set minimo di standard.

Di solito le persone dovrebbero quindi consultare gli ubuntuforum per vedere chi ha usato particolari ppa e se possono causare problemi.

Per un "novizio" o "noob", il mio miglior consiglio è di evitare PPA fino a quando non avrai la certezza di comprendere alcune cose sulla linea di comando, i potenziali messaggi di errore e alcune cose su come diagnosticare i problemi.

Per rimuovere i problemi che causano la ppa, puoi utilizzare la maggior parte del tempo " ppa_purge "

Se ti senti nervoso, considera un backup di immagine del tuo computer con uno strumento come clonezilla . In questo modo, se le cose vanno male e non riesci a risolverlo, almeno hai un modo rapido per riportare il tuo computer al modo in cui era prima di iniziare a giocare.

Detto questo, i ppa sono estremamente utili per ottenere le ultime versioni del software, specialmente per quelli che non tentano di aggiornare ogni 6 mesi e si attaccano alla versione LTS di ubuntu.

    
risposta data fossfreedom 17.04.2011 - 19:27
fonte
21

Non è solo una questione di malware, come è già stato detto. È anche possibile che alcuni dei software siano ancora in fase di test e non siano pronti per l'uso in produzione. Se lo installi e fai affidamento su di esso per portare a termine il lavoro, potresti scoprire che è bacato, inaffidabile e può bloccarsi, lasciandoti senza il lavoro che hai svolto.

Alcuni potrebbero anche non andare d'accordo con altri aspetti di Ubuntu, come Unity o Gnome, causando problemi difficili da rintracciare, e forse persino rendendo instabile il tuo sistema.

Questo non è perché il software è cattivo, ma perché forse non è stato ancora completamente testato, o perché è stato reso disponibile in modo che le persone possano testarlo, ma non ancora destinato a essere generalmente rilasciato come software di produzione. Quindi dovresti usare cautela, anche se alcuni sono davvero buoni.

Alcuni mesi fa ho installato un pacchetto consigliato da un particolare PPA e ho distrutto il mio sistema abbastanza da dover reinstallare Ubuntu. Ero un nuovo utente e non sapevo cos'altro fare; con un po 'più di conoscenza sarei stato in grado di risolvere il problema e ripristinarlo senza fare una reinstallazione (anche se anche questo mi è stato utile nell'apprendimento di Ubuntu, ma se avessi lavorato salvato sulla mia macchina l'avrei perso) .

Quindi, fai attenzione, fai domande, fai frequenti backup (!!!) e sai che il malware è improbabile (anche se non impossibile).

    
risposta data Kelley 01.12.2011 - 21:52
fonte
17

Tutte le preoccupazioni elencate da altri qui sono estremamente importanti da comprendere. Detto questo, poiché questo è open source, possiamo dire esattamente cosa è cambiato dal PPA dalla versione del pacchetto in Ubuntu. Utilizzeremo il PPA da questo duplicato come un esempio.

Per prima cosa prenderemo il sorgente dal PPA dget uno strumento che scaricherà tutti i pezzi di un pacchetto sorgente Debian dato un collegamento al file dsc :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ho trovato il link facendo clic su "Visualizza dettagli pacchetto":

E poi:

Successivamente, otterremo il sorgente del pacchetto nell'archivio di Ubuntu:

apt-get source unity

Infine, useremo debdiff per vedere le differenze tra l'origine dei due pacchetti:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

L'output di quel comando è lungo circa trecento righe, così lo metto su un pastebin invece che direttamente nella finestra. Ora, non posso garantire quanto sia buono il codice poiché non conosco il C ++, ma sembra che stia facendo ciò che afferma e non qualcosa di malevolo.

    
risposta data andrewsomething 05.06.2012 - 16:14
fonte
13

Un PPA è una cartella Web che contiene software che è possibile installare. Non è molto più complicato di così. Quando si installa un pacchetto, lo si fa con i privilegi di root e il pacchetto ha script che vengono eseguiti, quindi vengono eseguiti come root. Ciò significa che l'installazione di qualsiasi software è pericolosa e devi aver fiducia nello sviluppatore o nel distributore.

Un archivio apt, PPA o altro, viene regolarmente interrogato per gli aggiornamenti del software che hai installato. Il "problema" con questo, è che chiunque può fornire un nuovo pacchetto di software che hai installato. Ad esempio, puoi aggiungere un PPA per ottenere un tema piacevole e aggiornamenti automatici di quel tema. Ma una volta che hai aggiunto quel repository, il proprietario può aggiungere un pacchetto openssh-server patchato, per esempio, e apparirà come aggiornamento in Ubuntu. Questo può essere fatto un anno dopo aver aggiunto il PPA, quindi è necessario prestare attenzione agli aggiornamenti.

Il sistema PPA impedisce a terze parti di manomettere i pacchetti, tuttavia, quindi se ti fidi dello sviluppatore / distributore, i PPA sono molto sicuri. Ad esempio, se installi Google Chrome, aggiungono un PPA per ricevere aggiornamenti automatici. Aggiungono "deb link stabile principale". Se il server DNS che utilizzi è stato hackerato per indirizzare dl.google.com da qualche altra parte, potrebbero inviare software con patch su tutti coloro che hanno installato Chrome. Ma Ubuntu si rifiuterebbe di installarli poiché non potevano essere firmati con la chiave privata di Google. Quindi, a tale proposito, i PPA sono molto sicuri.

Non è possibile affermare che un PPA sia sicuro o meno. Dipende dalle persone che lo usano per distribuire software. Con il software gratuito, le persone possono guardare la fonte e vedere se è sicura o meno. Quando molte persone usano un archivio, come gli archivi regolari di Ubuntu, allora hai una peer review. I piccoli archivi con pochi utenti non hanno questo, quindi sono meno affidabili. La lezione principale è che, indipendentemente dal sistema utilizzato, è necessario fare attenzione durante l'installazione del software.

    
risposta data Jo-Erlend Schinstad 29.08.2011 - 20:50
fonte
12

Basandosi sulla risposta di Luis Alvarado , dovresti essere consapevole di questi rischi:

  • Pacchetti dannosi : i pacchetti potrebbero provare a farti del male. Questo è facile per loro perché possono eseguire qualsiasi codice con privilegi amministrativi.
  • Software di scarsa qualità o incompatibile : un'applicazione potrebbe non funzionare correttamente. Potrebbe causare danni accidentali, ad esempio, interferendo con altri software, distruggendo i dati o divulgando informazioni private.

e dovresti essere attento a questi fattori:

  • Onestà del manutentore -Il manutentore tenta segretamente di farti del male?
  • Sicurezza del maintainer : il manutentore è vulnerabile agli attacchi di terzi?
  • Affidabilità del manutentore -Il manutentore risponderà alla necessità di aggiornamenti entro un ragionevole lasso di tempo? Si impegnano a mantenere il PPA a lungo termine?
  • Sicurezza del repository -I pacchetti sono firmati dal maintainer?
  • Prestazioni del software : il software è privo di errori e compatibile con il tuo sistema?
risposta data ændrük 06.11.2013 - 18:48
fonte
8

I pacchetti su PPA non vengono controllati per cose come malware. Quindi, mentre qualcuno potrebbe confezionare qualcosa come XBMC per te, potrebbero facilmente aggiungere anche spyware / malware. Questo è il motivo per cui non dovresti semplicemente aggiungere un PPA casuale.

    
risposta data tgm4883 01.12.2011 - 21:16
fonte
3

Quando aggiungi ppa e installa un programma attraverso di esso.

Fondamentalmente si concede il permesso di risiedere in tale programma nell'area eseguibile consentita (/ bin / / sbin / / usr / bin /).

Ora, se il programma stesso è / ha in qualche modo un malware, il sistema non si lamenterà di ciò in quanto tu sei quello che ha aggiunto ppa considerando la sua affidabilità.

Quando il programma proviene dai repository di Ubuntu vengono prima controllati (vorrei dirlo a fondo ma non lo so: P) quindi quelli provenienti dai repository di Ubuntu sono sicuramente privi di malware / spyware.

Per qualsiasi altro ppa, devi decidere se fidarti o no.

    
risposta data wisemonkey 01.12.2011 - 21:22
fonte

Leggi altre domande sui tag