Können PPAs sicher zu meinem System hinzugefügt werden und welche "roten Fahnen" müssen beachtet werden?

280

Ich sehe viele interessante Programme, die nur durch Hinzufügen eines "PPA" zum System erhalten werden können, aber wenn ich richtig verstehe, sollten wir innerhalb der offiziellen "Repositories" bleiben, um Software zu unserem System hinzuzufügen .

Gibt es eine Möglichkeit für einen Neuling zu wissen, ob ein "PPA" sicher ist oder vermieden werden sollte? Welche Tipps sollte der Benutzer im Umgang mit PPA beachten?.

    
Rob 17.04.2011, 18:31
quelle

8 Antworten

201

PPA ( Personal Package Archive ) wird verwendet, um eine spezifische Software zu Ihrem Ubuntu, Kubuntu oder jedem anderen PPA-kompatiblen Programm hinzuzufügen Distro. Die Sicherheit eines PPA hängt hauptsächlich von drei Dingen ab:

  1. Wer hat die PPA gemacht? - Eine offizielle PPA von WINE oder LibreOffice wie ppa: libreoffice / ppa und eine PPA, die ich selbst erstellt habe, sind nicht die gleichen. Du kennst mich nicht als PPA-Betreuer, daher ist das Vertrauen und die Sicherheit für mich SEHR niedrig (Da ich ein beschädigtes Paket, inkompatibles Paket oder irgendetwas anderes schlecht gemacht haben könnte), aber für LibreOffice und die PPA bieten sie auf ihrer Website an , DAS gibt ein gewisses Sicherheitsnetz. Je nachdem, wer die PPA erstellt hat, wie lange er oder sie die PPA erstellt und aufrechterhalten hat, wird sich ein wenig darauf auswirken, wie sicher die PPA für Sie ist. PPA's, wie oben in den Kommentaren erwähnt, sind nicht von Canonical zertifiziert.

  2. Wie viele Benutzer haben die PPA verwendet? - Ich habe zum Beispiel eine PPA aus Pfandrecht in meinem persönliche PPA. Würdest du ME mit 10 Benutzern vertrauen, die bestätigen, dass mein PPA 6 von ihnen sagt, dass es scheiße ist, als das, das Scott Ritchie als ppa: ubuntu-wine / ppa auf der offiziellen winehq Website anbietet. Es hat Tausende von Benutzern (einschließlich mir), die seine PPA verwenden und seiner Arbeit vertrauen. Das ist Arbeit, die mehrere Jahre hinter sich hat.

  3. Wie aktualisiert das PPA ist - Nehmen wir an, Sie verwenden Ubuntu 10.04 oder 10.10 und Sie möchten dieses spezielle PPA verwenden. Sie finden heraus, dass die letzte Aktualisierung dieser PPA vor 20 Jahren war. O.o. Die Chancen, die Sie bei der Verwendung von THAT PPA haben, sind null. Warum?. Weil die Paketabhängigkeiten, die PPA benötigt, sehr alt sind und vielleicht die aktualisierten ändern so viel Code, dass sie nicht mit dem PPA arbeiten und möglicherweise Ihr System beschädigen, wenn Sie eines der Pakete dieses PPA auf Ihrem System installieren.

    Wie aktualisiert ein PPA die Entscheidung, es zu verwenden, wenn er / sie dieses PPA verwenden möchte. Wenn nicht, würden sie lieber nach einem anderen mehr suchen. Sie wollen nicht Banshee 0.1 oder Wine 0.0.0.1 oder OpenOffice 0.1 Beta Alpha Omega Thundercat Edition mit dem neuesten Ubuntu. Was Sie wollen, ist eine PPA, die auf Ihr aktuelles Ubuntu aktualisiert wird. Denken Sie daran, dass eine PPA erwähnt, für was Ubuntu-Version gemacht wird oder für die mehrere Ubuntu-Versionen gemacht wurden.

    Als Beispiel hier ist ein Bild der Versionen, die in der Wine PPA unterstützt werden:

    Hier können Sie sehen, dass diese PPA seit Dinosaurier unterstützt wird.

    Eine schlechte Sache darüber, wie aktualisiert ein PPA ist, wenn der PPA-Betreuer dazu neigt, in die PPA die neueste, beste und modernste Version eines bestimmten Pakets einzubringen. Der Nachteil davon ist, dass, wenn Sie das letzte von etwas testen werden, Sie einige Fehler finden werden. Versuchen Sie, bei PPAs zu bleiben, die auf eine stabile Version und nicht auf eine unstable, testing oder dev Version aktualisiert werden, da sie Bugs enthalten könnten. Die Idee, das Neueste zu haben, ist auch zu TESTEN und zu sagen, welche Probleme gefunden wurden und sie zu lösen. Ein Beispiel dafür sind die täglichen Xorg PPAs und Daily Mozilla PPAs. Sie erhalten ca. 3 tägliche Updates für X.org oder Firefox, wenn Sie die Dailies erhalten. Dies ist wegen der Arbeit, die dort eingesetzt wird, und wenn Sie ihre täglichen PPAs verwenden, bedeutet das, dass Sie bei der Fehlersuche oder Entwicklung helfen wollen und NICHT für eine Produktionsumgebung.

Halte dich grundsätzlich an diese 3 und du wirst sicher sein. Immer nach dem Hersteller / Betreuer der PPA suchen. Immer sehen, ob viele Benutzer es benutzt haben und immer sehen, wie aktualisiert das PPA ist. Orte wie OMGUbuntu , , WebUp8 und auch hier in AskUbuntu sind gute Quellen, um viele Benutzer und Artikel zu finden, die über PPAs sprechen und sie empfehlen habe getestet.

Stabile PPA Beispiele - LibreOffice, OpenOffice, Banshee, Wein, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sind gute und sichere PPAs aus Meiner Erfahrung.

Semi Stabile PPA - X-Swat PPA ist ein in der Mitte PPA zwischen blutenden Rand und stabil.

Blutende-Kante-PPA - Xorg-Edgers ist eine blutende Kante PPA, obwohl ich erwähnen sollte, dass nach 12.04 dieses PPA mehr und mehr stabil geworden ist. Ich würde es immer noch als blutenden Rand markieren, aber es ist stabil genug für Endbenutzer.

Auswählbare PPA - Handbrake bietet hier eine Möglichkeit für den Benutzer zu wählen, wollen Sie einen Stall Version oder möchten Sie die blutende Kante (auch Snapshot genannt) Version. In diesem Fall können Sie auswählen, was Sie verwenden möchten.

Beachten Sie, dass Sie, wenn Sie zum Beispiel das X-Swat PPA mit dem Xorg-Edgers PPA verwenden, eine Mischung zwischen den beiden erhalten (mit Priorität gegenüber Xorg-Edgern). Dies liegt daran, dass beide versuchen, fast dieselben Pakete einzubinden, so dass sie sich gegenseitig überschreiben und nur das am meisten aktualisierte in Ihren Repositories angezeigt wird (außer wenn Sie es manuell anweisen, das Paket von X-Swat zu holen).

Einige PPAs aktualisieren möglicherweise einige Ihrer Pakete, wenn Sie sie zu Ihrem Repository hinzufügen, da sie ein bestimmtes Paket mit ihrer eigenen Version überschreiben, damit die PPA-Software korrekt auf Ihrem System funktioniert. Dies können einige Code-Pakete, Python-Versionen, etc .. Andere wie die LibreOffice PPA werden alle Existenz von OpenOffice von Ihrem System entfernen, um die LibreOffice-Pakete dort zu installieren. Lesen Sie im Grunde, was andere Benutzer zu einem bestimmten Paket kommentiert haben und lesen Sie auch, ob das Paket mit Ihrer Ubuntu-Version kompatibel ist.

Wie der unten stehende Kommentar von Jeremy Bicha andeutet, könnte eine blutende Kante (PPAs, die sehr aktuell bleiben, einschließlich Hinzufügen von Alpha, Beta oder RC-Software im PPA) möglicherweise Ihr gesamtes System beschädigen (im schlimmsten Fall). Jeremy erwähnt ein Beispiel von vielen.

    
Luis Alvarado 17.04.2011, 19:57
quelle
55

Um PPA's auf dem Launchpad zu entwickeln, muss der Beitragende den ubuntu Verhaltenskodex unterzeichnet haben. Dies bedeutet, dass der Entwickler ein Minimum an Standards einhalten muss.

Normalerweise sollten die Leute dann die ubuntuforums konsultieren, um zu sehen, wer bestimmte PPAs verwendet hat und ob sie irgendwelche Probleme verursachen könnten.

Für einen "Neuling" oder "Neuling" - mein bester Rat ist, PPAs zu vermeiden, bis Sie sicher sind, dass Sie ein paar Dinge über die Befehlszeile, mögliche Fehlermeldungen und ein paar Dinge zur Diagnose von Problemen verstehen / p>

Um PPAs zu entfernen, die Probleme verursachen, können Sie meistens " ppa_purge "

verwenden

Wenn Sie nervös sind, dann überlegen Sie sich eine Image-Sicherung Ihres Computers mit einem Tool wie clonezilla . Auf diese Weise haben Sie, wenn etwas schief geht und Sie es nicht lösen können, zumindest eine schnelle Möglichkeit, Ihren Computer wieder auf den ursprünglichen Stand zu bringen, bevor Sie mit dem Spielen begonnen haben.

Nachdem all dies gesagt wurde, sind PPAs äußerst nützlich, um die neuesten Versionen von Software zu erhalten - besonders für diejenigen, die nicht versuchen, alle 6 Monate ein Upgrade durchzuführen und bei der LTS-Version von ubuntu zu bleiben.

    
fossfreedom 17.04.2011 19:27
quelle
21

Es ist nicht nur eine Frage der Malware, wie bereits gesagt wurde. Es ist auch möglich, dass ein Teil der Software tatsächlich noch in der Testphase ist und nicht für den produktiven Einsatz bereit ist. Wenn Sie es installieren und sich auf es verlassen, um Arbeit zu erledigen, stellen Sie vielleicht fest, dass es fehlerhaft, unzuverlässig ist und abstürzen kann - Sie ohne die Arbeit zu verlassen, die Sie getan haben.

Einige von ihnen könnten auch mit anderen Aspekten von Ubuntu, wie Unity oder Gnome, nicht gut zurechtkommen, was Probleme verursacht, die schwer zu verfolgen sind und vielleicht sogar Ihr System instabil machen.

Das liegt nicht daran, dass die Software schlecht ist, sondern weil sie vielleicht noch nicht vollständig getestet wurde oder weil sie verfügbar gemacht wurde, damit Leute sie testen können, aber noch nicht als Produktionssoftware veröffentlicht werden sollen. Sie sollten also Vorsicht walten lassen, obwohl einige davon wirklich ziemlich gut sind.

Vor einigen Monaten habe ich ein empfohlenes Paket von einer bestimmten PPA installiert, und es hat mein System soweit zerstört, dass ich Ubuntu neu installieren musste. Ich war ein neuer Benutzer und wusste nicht, was ich sonst tun sollte; Mit etwas mehr Wissen hätte ich vielleicht das Problem lösen und wiederherstellen können, ohne eine Neuinstallation durchzuführen (obwohl das auch für mich beim Lernen von Ubuntu nützlich war, aber wenn ich auf meinem Computer gespeichert hätte, hätte ich es verloren) .

Seien Sie also vorsichtig, stellen Sie Fragen, machen Sie häufige Backups (!!!) und wissen Sie, dass Malware unwahrscheinlich (wenn auch nicht unmöglich) ist.

    
Kelley 01.12.2011 21:52
quelle
17

Alle von anderen hier aufgeführten Bedenken sind äußerst wichtig zu verstehen. Da dies Open Source ist, können wir genau sagen, was das PPA von der Version des Pakets in Ubuntu geändert hat. Wir verwenden die PPA von diesem Duplikat als ein Beispiel.

Zuerst holen wir uns die Quelle aus dem PPA dget Tool, das alle Teile eines Debian-Quellpakets mit einem Link zur dsc -Datei herunterladen wird:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ich habe diesen Link gefunden, indem ich auf "Paketdetails anzeigen" geklickt habe:

Und dann:

Als nächstes erhalten wir die Quelle des Pakets im Ubuntu-Archiv:

apt-get source unity

Schließlich verwenden wir debdiff , um die Unterschiede zwischen der Quelle der beiden Pakete zu sehen:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Die Ausgabe dieses Befehls ist ungefähr dreihundert Zeilen lang, also lege ich es auf einen Pastebin anstelle von direkt ab ins Fenster. Nun, ich kann nicht dafür bürgen, wie gut der Code ist, da ich C ++ nicht wirklich kenne, aber es scheint zu tun, was es behauptet und nichts bösartiges.

    
andrewsomething 05.06.2012 16:14
quelle
13

Ein PPA ist ein Webordner, der Software enthält, die Sie installieren können. Es ist wirklich nicht viel komplizierter als das. Wenn Sie ein Paket installieren, tun Sie das mit root-Rechten, und das Paket hat Skripts, die ausgeführt werden, sodass sie als root ausgeführt werden. Das bedeutet, dass die Installation von Software gefährlich ist und Sie dem Entwickler oder Distributor vertrauen müssen.

Ein passendes Archiv, PPA oder andere, wird regelmäßig nach Updates für die von Ihnen installierte Software abgefragt. Das "Problem" dabei ist, dass jeder ein neueres Softwarepaket zur Verfügung stellen kann, das Sie installiert haben. Zum Beispiel können Sie ein PPA hinzufügen, um ein schönes Thema und automatische Updates dieses Themas zu erhalten. Aber sobald Sie dieses Repository hinzugefügt haben, kann der Besitzer beispielsweise ein gepatchtes openssh-server-Paket hinzufügen und es wird als Update in Ubuntu angezeigt. Dies kann ein Jahr nach dem Hinzufügen der PPA erfolgen, so dass Sie auf Updates achten müssen.

Das PPA-System verhindert jedoch, dass Dritte die Pakete manipulieren. Wenn Sie also dem Entwickler / Distributor vertrauen, sind PPAs sehr sicher. Wenn Sie beispielsweise Google Chrome installieren, fügen sie eine PPA hinzu, damit Sie automatische Updates erhalten. Sie fügen "deb Pfandrecht stable main" hinzu. Wenn der DNS-Server, den Sie verwenden, so gehackt wurde, dass er auf dl.google.com verweist, können Sie die gepatchte Software auf alle verteilen, die Chrome installiert haben. Aber Ubuntu würde sich weigern, sie zu installieren, da sie nicht mit dem privaten Schlüssel von Googles signiert werden konnten. In dieser Hinsicht sind PPAs sehr sicher.

Es ist nicht möglich zu sagen, dass eine PPA sicher ist oder nicht. Es hängt von den Leuten ab, die es verwenden, um Software zu verteilen. Mit freier Software können die Leute die Quelle anschauen und sehen, ob sie sicher ist oder nicht. Wenn viele Leute ein Archiv benutzen, wie Ubuntus reguläre Archive, dann hast du einen Peer Review. Kleine Archive mit wenigen Benutzern haben das nicht, daher sind sie weniger vertrauenswürdig. Die wichtigste Erkenntnis ist, dass Sie, egal welches System Sie verwenden, vorsichtig sein sollten, wenn Sie Software installieren.

    
Jo-Erlend Schinstad 29.08.2011 20:50
quelle
12

Nach der Antwort von Luis Alvarado sollten Sie sich dieser Risiken bewusst sein:

  • Schädliche Pakete -Pakete könnten versuchen, Ihnen zu schaden. Dies ist für sie einfach, da sie beliebigen Code mit Administratorrechten ausführen können.
  • Schlechte Qualität oder inkompatible Software - Eine Anwendung funktioniert möglicherweise nicht gut. Es kann versehentlich zu Schäden führen, indem es beispielsweise andere Software beeinträchtigt, Ihre Daten zerstört oder private Informationen verpufft.

und Sie sollten auf diese Faktoren achten:

  • Ehrlichkeit des Betreuers - Könnte der Betreuer versuchen, dir heimlich zu schaden?
  • Sicherheit des Betreuers - Ist der Betreuer anfällig für Angriffe durch Dritte?
  • Zuverlässigkeit des Betreuers - Wird der Betreuer innerhalb eines vernünftigen Zeitrahmens auf Aktualisierungen reagieren? Sind sie verpflichtet, die PPA langfristig aufrechtzuerhalten?
  • Sicherheit des Repositorys - Werden Pakete vom Betreuer signiert?
  • Leistung der Software - Ist die Software fehlerfrei und mit Ihrem System kompatibel?
ændrük 06.11.2013 18:48
quelle
8

Die Pakete auf PPAs werden nicht auf Malware überprüft. Während jemand vielleicht etwas wie XBMC für Sie verpackt, könnte es sehr leicht sein, dass Sie auch etwas Spyware / Malware hinzufügen. Deshalb sollten Sie nicht einfach irgendeine zufällige PPA hinzufügen.

    
tgm4883 01.12.2011 21:16
quelle
3

Wenn Sie ppa hinzufügen und ein Programm installieren.

Grundsätzlich geben Sie die Erlaubnis, das Programm im erlaubten ausführbaren Bereich zu speichern (/ bin / / sbin / / usr / bin /).

Nun, wenn das Programm selbst eine Schadsoftware ist / hat, dann wird sich das System nicht darüber beschweren, denn Sie sind derjenige, der ppa unter Berücksichtigung seiner Vertrauenswürdigkeit hinzugefügt hat.

Wenn das Programm aus den Ubuntu-Repositories kommt, werden sie zuerst überprüft (ich möchte es gründlich sagen, aber ich weiß nicht: P), also sind die aus Ubuntu-Repositories sicher von Malware / Spyware.

Bei jedem anderen ppa entscheiden Sie, ob Sie ihm vertrauen oder nicht.

    
wisemonkey 01.12.2011 21:22
quelle

Tags und Links