Questão Os PPAs são seguros para adicionar ao meu sistema e quais são algumas “bandeiras vermelhas” a serem observadas?


Eu vejo muitos programas interessantes por aí que só podem ser obtidos adicionando um "PPA" ao sistema, mas, se estou entendendo corretamente, devemos ficar dentro dos "repositórios" oficiais para adicionar software ao nosso sistema.

Existe alguma maneira de um novato saber se um "PPA" é seguro ou se deve ser evitado? Que dicas o usuário deve saber ao lidar com um PPA?


283
2018-04-17 16:31


origem


Veja também: askubuntu.com/questions/7662/… - Mechanical snail
Você pode verificar se existe snappy pacote disponível também. Eles tendem a ser limitados por regras de segurança. Você tem que conceder explicitamente certas permissões para alguns snaps, embora o problema geral seja o mesmo (você precisa confiar no editor). - Ken Sharp


Respostas:


PPA (Arquivo Pessoal de Pacotes) são usados ​​para incluir um software específico no seu Ubuntu, Kubuntu ou qualquer outra distribuição compatível com PPA. O "segurança"de um PPA depende principalmente de 3 coisas:

  1. Quem fez o PPA - Um PPA oficial do WINE ou LibreOffice como ppa: libreoffice / ppa e um PPA que eu criei não é o mesmo. Você não me conhece como um mantenedor do PPA, então a questão da confiança e segurança é MUITO baixa para mim (já que eu poderia ter feito um pacote corrompido, incompatível ou qualquer outra coisa ruim), mas para o LibreOffice e o PPA eles oferecem em seu site , Isso dá uma certa segurança para isso. Então, dependendo de quem fez o PPA, por quanto tempo ele ou ela fizeram e mantiveram o PPA influenciará um pouco a segurança do PPA para você. Os PPAs, como mencionado acima nos comentários, não são certificados pela Canonical.

  2. Quantos usuários utilizaram o PPA - Por exemplo, eu tenho um PPA de http://winehq.org no meu PPA pessoal. Você confiaria em mim com 10 usuários que confirmam o uso do meu PPA, tendo 6 deles dizendo que é uma merda do que o que Scott Ritchie oferece como ppa: ubuntu-wine / ppa no site oficial do winehq. Tem milhares de usuários (inclusive eu) que usam seu PPA e confiam em seu trabalho. Este é um trabalho que tem vários anos atrás.

  3. Como atualizado o PPA é - Vamos dizer que você está usando o Ubuntu 10.04 ou 10.10, e você quer usar esse PPA especial. Você descobre que a última atualização desse PPA foi há 20 anos. As chances que você tem de usar THAT PPA são nulas. Por quê?. Porque as dependências de pacote que o PPA precisa são muito antigas e talvez as atualizadas alterem tanto código que elas não funcionarão com o PPA e possivelmente quebrarão seu sistema se você instalar qualquer um dos pacotes desse PPA em seu sistema.

    Como atualizado um PPA influencia a decisão de usá-lo se ele / ela quiser usar esse PPA. Se não, prefeririam procurar outro mais atualizado. Você não quer o Banshee 0.1 ou o Wine 0.0.0.1 ou o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition com o Ubuntu mais recente. O que você quer é um PPA atualizado para o seu Ubuntu atual. Lembre-se que um PPA menciona para que versão do Ubuntu é feita ou para várias versões do Ubuntu foi feita.

    Como exemplo disso, aqui está uma imagem das versões que são suportadas no Wine PPA:

    enter image description here

    Aqui você pode ver que este PPA é suportado desde dinossauros.

    Uma coisa ruim sobre como um PPA atualizado é, se o mantenedor do PPA tende a empurrar para o PPA a versão mais recente, melhor e mais avançada de um pacote específico. O lado negativo disso é que se você estiver indo para testar o mais recente de algo, você vai encontrar alguns bugs. Tente ficar com os PPAs atualizados para uma versão estável e não instável, teste ou versão de desenvolvimento, pois pode conter bugs. A idéia de ter o mais recente também é para o TEST e dizer quais problemas foram encontrados e resolvê-los. Um exemplo disso são os PPAs Xorg diários e os PPAs Daily Mozilla. Você receberá cerca de 3 atualizações diárias para o X.org ou o Firefox, caso obtenha os diários. Isto é por causa do trabalho que você colocou lá e se você está usando seus PPAs diários, isso significa que você quer ajudar na busca ou desenvolvimento de bugs e NÃO em um ambiente de produção.

Basicamente fique com este 3 e você estará seguro. Sempre procure o fabricante / mantenedor do PPA. Sempre veja se muitos usuários já usaram e sempre ver como está atualizado o PPA. Lugares como OMGUbuntu, Phoronix, Slashdot, O H, WebUp8 e até aqui no AskUbuntu são boas fontes para encontrar muitos usuários e artigos falando sobre e recomendando alguns PPAs que eles testaram.

Exemplos de PPA estáveis - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC são bons e seguros PPAs da minha experiência.

PPA semi estável - X-Swat PPA é um no meio PPA entre sangramento de borda e estável.

PGE de sangramento - O Xorg-Edgers é um PPA de última geração, embora eu deva mencionar que, após o 12.04, esse PPA se tornou cada vez mais estável. Eu ainda marcaria como borda de sangramento, mas é estável o suficiente para os usuários finais.

PPA selecionável - Handbrake oferece Aqui uma maneira para o usuário escolher, você quer uma versão estável ou você quer a versão de ponta (também conhecida como Snapshot). Neste caso, você pode selecionar o que você deseja usar.

Observe que, no caso de usar, por exemplo, o X-Swat ppa com o PPA Xorg-Edgers, você obterá uma mistura entre os dois (com prioridade para os Xorg-Edgers). Isto é porque ambos estão tentando incluir quase os mesmos pacotes, então eles irão sobrescrever um ao outro e somente o mais atualizado será mostrado em seus repositórios (exceto se você diz manualmente para pegar o pacote do X-Swat).

Alguns PPAs podem atualizar alguns de seus pacotes quando você os adiciona ao seu repositório porque eles sobrescrevem com sua própria versão um determinado pacote para fazer o software PPA funcionar corretamente em seu sistema. Isso pode ser alguns pacotes de código, versões python, etc. Outros como o LibreOffice PPA irá remover toda a existência do OpenOffice do seu sistema para instalar os pacotes do LibreOffice lá. Basicamente leia o que outros usuários comentaram sobre um pacote específico e também leia se o pacote é compatível com sua versão do Ubuntu.

Como o comentário abaixo sugere por Jeremy Bicha, algumas melhorias (PPAs que permanecem muito atualizadas, incluindo a adição de software de qualidade Alpha, Beta ou RC no PPA) poderiam danificar todo o seu sistema (na pior das hipóteses). Jeremy menciona um exemplo de muitos.


204
2018-04-17 17:57



Isso é verdade para a multiplicidade de PPAs que você precisa instalar para obter temas como equinócio, elementar etc? - abel
Sim. Aplica-se a qualquer PPA. Lembre-se de que um PPA é apenas uma maneira fácil de atualizar um programa ou grupo de programas por meio de alguém que o leva a tempo de atualizá-lo. Portanto, é um lugar onde alguém dedica seu tempo para que algo seja atualizado ou compatível com o sistema mais recente / antigo. Mas como é um humano que está fazendo isso, pode haver erros no caminho. - Luis Alvarado♦
Como se descobre quantos usuários um PPA tem? - damien
A adição de um PPA oferece alguns furos aos hackers? - mathmaniage


Para desenvolver PPA's no launchpad, o colaborador deve ter assinado o código de conduta do Ubuntu. Isso significa que o desenvolvedor deve obedecer a um conjunto mínimo de padrões.

Geralmente as pessoas devem então consultar os ubuntuforums para ver quem usou determinados ppa's e se eles poderiam causar algum problema.

Para um "novato" ou "noob" - meu melhor conselho é evitar os PPAs até que você se sinta confiante em entender algumas coisas sobre a linha de comando, possíveis mensagens de erro e algumas coisas sobre como diagnosticar problemas.

Para remover problemas causando ppa, você pode na maioria das vezes usar "ppa_purge"

Se você está se sentindo nervoso, considere um backup de imagem do seu computador com uma ferramenta como clonezilla. Dessa forma, se as coisas derem errado e você não conseguir resolvê-lo, pelo menos você terá um meio rápido de restaurar o computador de volta ao modo como estava antes de começar a jogar.

Tendo dito tudo isso, os ppa são extremamente úteis para obter as versões mais recentes do software - especialmente para aqueles que não tentam atualizar a cada 6 meses e ficar com a versão LTS do Ubuntu.


55
2018-04-17 17:27



Eu adoraria a sua resposta no topo apenas para o aconselhar aos novatos. :( - Braiam
@fossFreedom: recebo atualizações automáticas se eu instalar via ppa ou apt-get install utilitário - Rajat Gupta
@ user01 - se a pessoa que criou o PPA atualizar o pacote com uma nova versão, sim - você receberá a atualização automaticamente se tiver adicionado o PPA primeiro apt-get install package - fossfreedom♦
É claro que um usuário mal-intencionado não será interrompido por ter que assinar o código de conduta ... - evilsoup
Os backups não salvam você do roubo digital (por exemplo, um PPA malicioso que envia os cookies do seu navegador ou as chaves ssh de volta para casa). Se você está realmente nervoso, deve ser seguro instalar e executar o PPA dentro de uma máquina virtual, container ou schroot. - joeytwiddle


Não é apenas uma questão de malware, como já foi dito. É também que parte do software ainda pode estar em fase de testes e não estar pronto para uso em produção. Se você instalá-lo e confiar nele para realizar o trabalho, poderá descobrir que ele é defeituoso, não é confiável e pode travar - deixando você sem o trabalho que você fez.

Algumas delas também podem não se dar bem com outros aspectos do Ubuntu, como o Unity ou o Gnome, causando problemas difíceis de rastrear e talvez até mesmo tornando o sistema instável.

Isso não é porque o software é ruim, mas porque talvez ainda não tenha sido totalmente testado, ou porque foi disponibilizado para que as pessoas pudessem testá-lo, mas ainda não tinham a intenção de serem liberadas como software de produção. Portanto, você deve ter cuidado, embora algumas delas sejam realmente muito boas.

Alguns meses atrás eu instalei um pacote recomendado de um PPA em particular, e ele destruiu meu sistema o suficiente para que eu tivesse que reinstalar o Ubuntu. Eu era um novo usuário e não sabia mais o que fazer; com um pouco mais de conhecimento eu poderia ter sido capaz de resolver o problema e restaurá-lo sem fazer uma reinstalação (embora isso também fosse útil para mim no aprendizado do Ubuntu, mas se eu tivesse trabalhado salvo na minha máquina eu teria perdido) .

Portanto, tenha cuidado, faça perguntas, faça backups freqüentes (!!!) e saiba que o malware é improvável (embora não impossível).


21
2017-12-01 20:52





Todas as preocupações listadas por outras pessoas são extremamente importantes para entender. Dito isto, uma vez que este é open source, podemos dizer exatamente o que o PPA mudou a partir da versão do pacote no Ubuntu. Nós vamos usar o PPA de esta duplicata como um exemplo.

Primeiro vamos pegar a fonte do PPA dget uma ferramenta que irá baixar todas as partes de um pacote fonte Debian dado um link para o dsc Arquivo:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Eu encontrei esse link clicando em "Ver detalhes do pacote":

View package details

E depois:

find dsc file

Em seguida, obteremos a origem do pacote no arquivo Ubuntu:

apt-get source unity

Finalmente, vamos usar debdiff para ver as diferenças entre a fonte dos dois pacotes:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

A saída desse comando tem cerca de trezentas linhas, então vou colocá-lo em um pastebin em vez de diretamente na janela. Agora, eu não posso garantir o quão bom é o código, já que eu realmente não conheço o C ++, mas ele parece estar fazendo o que alega e não é nada malicioso.


17
2018-06-05 14:14



+1, mas o link do seu pastebin está quebrado. - unforgettableid


Um PPA é uma pasta da Web que contém o software que você pode instalar. Realmente não é muito mais complicado que isso. Quando você instala um pacote, você faz isso com privilégios de root e o pacote tem scripts que são executados, então eles são executados como root. Isso significa que instalar qualquer software é perigoso e você precisa confiar no desenvolvedor ou distribuidor.

Um arquivo apt, PPA ou outro, é consultado regularmente para atualizações do software que você instalou. O "problema" com isso é que qualquer um pode fornecer um novo pacote de software instalado. Por exemplo, você pode adicionar um PPA para obter um tema interessante e atualizações automáticas desse tema. Mas depois de adicionar esse repositório, o proprietário pode adicionar um pacote openssh-server, por exemplo, e ele aparecerá como uma atualização no Ubuntu. Isso pode ser feito um ano após você ter adicionado o PPA, portanto, você precisa prestar atenção às atualizações.

O sistema PPA impede que terceiros violem os pacotes, portanto, se você confia no desenvolvedor / distribuidor, os PPAs são muito seguros. Por exemplo, se você instalar o Google Chrome, eles adicionarão um PPA para que você receba atualizações automáticas. Eles adicionam "deb http://dl.google.com/linux/chrome/deb/ stable main ". Se o servidor DNS que você usou foi hackeado para apontar dl.google.com para outro lugar, então eles poderiam enviar o software para todos que tinham instalado o Chrome. Mas o Ubuntu se recusaria a instalá-lo, pois não poderia ser assinado com o Googles chave privada.Assim, a esse respeito, os PPAs são muito seguros.

Não é possível dizer que um PPA é seguro ou não. Depende das pessoas que o usam para distribuir software. Com o software livre, as pessoas podem olhar para a fonte e ver se é seguro ou não. Quando muitas pessoas usam um arquivo, como os arquivos regulares do Ubuntu, você faz uma revisão por pares. Arquivos pequenos com poucos usuários não têm isso, então eles são menos confiáveis. A principal lição é que não importa o sistema que você usa, você deve tomar cuidado ao instalar o software.


13
2017-08-29 18:50





Construindo sobre Resposta de Luis Alvarado, você deve estar ciente desses riscos:

  • Pacotes maliciosos- Pacotes podem tentar prejudicá-lo. Isso é fácil para eles porque eles podem executar qualquer código com privilégios administrativos.
  • Software de baixa qualidade ou incompatível—Uma aplicação pode não funcionar bem. Pode acidentalmente causar danos, por exemplo, interferindo em outro software, destruindo seus dados ou vazando informações privadas.

e você deve estar atento a esses fatores:

  • Honestidade do mantenedor- O mantenedor pode secretamente tentar prejudicá-lo?
  • Segurança do mantenedor- O mantenedor é vulnerável a ataques de terceiros?
  • Confiabilidade do mantenedor- O mantenedor responderá à necessidade de atualizações dentro de um prazo razoável? Eles estão comprometidos em manter o PPA a longo prazo?
  • Segurança do repositório- Os pacotes são assinados pelo mantenedor?
  • Desempenho do software- O software é livre de bugs e é compatível com o seu sistema?

12
2017-11-06 17:48





Os pacotes em PPAs não são verificados quanto a malware. Então, enquanto alguém pode estar empacotando algo como o XBMC para você, eles também poderiam facilmente adicionar alguns spywares / malwares. É por isso que você não deve simplesmente adicionar qualquer PPA aleatório.


8
2017-12-01 20:16



você pode dizer o que exatamente é XMBC, eu sou um novo ubu - kernel_panic
O XBMC é um software de centro de mídia. É um software bom e seguro. Ele só usou como exemplo, poderia ser qualquer software. - Anonymous
o que um malware pode fazer no Ubuntu? Ele deve pedir permissão para qualquer coisa e tudo certo? - kernel_panic
Depois de instalado (ou seja, com permissão de root para copiar seus arquivos para diretórios do sistema e executar scripts personalizados), ele pode fazer o que quiser com o sistema. É por isso que é importante instalar pacotes de fontes confiáveis. - arrange
Incorreta. Quando você instala um software, você é root ao fazer isso. É muito fácil aceitar essa permissão e começar a fazer coisas ruins. - tgm4883


Quando você adiciona o ppa e instala um programa através dele.

Basicamente você dá permissão para residir esse programa na área executável permitida (/ bin / / sbin / / usr / bin /).

Agora, se o programa em si é / tem de alguma forma um malware, então o sistema não vai reclamar sobre isso, já que você é quem adicionou o ppa considerando sua confiabilidade.

Quando o programa vem dos repositórios do Ubuntu eles são checados primeiro (eu gostaria de dizer minuciosamente, mas eu não sei: P) então os repositórios do Ubuntu são livres de malware / spywares, com certeza.

Para qualquer outro ppa, o usuário decide se deve confiar ou não.


3
2017-12-01 20:22



o que um malware pode fazer no Ubuntu? Ele deve pedir permissão para qualquer coisa e tudo certo? - kernel_panic
Quando você instala o software, ele solicita permissão de root (a tela escurece e você digita sua senha). Neste ponto, poderia fazer qualquer coisa: apague tudo da sua caixa, instale um keylogger, mude o fundo do seu desktop para olá gatinho, qualquer coisa. - SCdF
owh !!!! Muito obrigado!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: durante a instalação, ele pede permissão para residir na área executável, uma vez que está lá, pode acessar facilmente qualquer informação que não seja su. Existem programas que precisam de permissão para executar, mas se o próprio programa tiver bagagem adicional (leia-se malware) adicionado durante o empacotamento, ele poderá ser executado sem problemas quando você digitar sua senha. - wisemonkey
Dev PPAs são a rota mais segura e também precisam ver a duração do contribuidor no Launchpad. Esses fatores garantem um sistema seguro e estável usando os PPAs para os programas mais recentes. Eu encontrei esta rota para manter meu LTS executando por muito tempo com as novas versões de programas que uso. - Arup Roy Chowdhury