Frage Können PPAs sicher zu meinem System hinzugefügt werden und auf welche "roten Fahnen" müssen Sie achten?
Ich sehe viele interessante Programme, die nur durch Hinzufügen eines "PPA" zu dem System erhalten werden können, aber wenn ich richtig verstehe, sollten wir innerhalb der offiziellen "Repositories" bleiben, um Software zu unserem System hinzuzufügen.
Gibt es eine Möglichkeit für einen Neuling zu wissen, ob ein "PPA" sicher ist oder vermieden werden sollte? Welche Tipps sollte der Benutzer im Umgang mit einem PPA beachten?
282
2018-04-17 16:31
Ursprung
Antworten:
PPA (Persönliches Paket Archiv) werden verwendet, um eine spezifische Software zu Ihrem Ubuntu, Kubuntu oder jeder anderen PPA kompatiblen Distribution hinzuzufügen. Das "Sicherheit"eines PPA hängt hauptsächlich von 3 Dingen ab:
Wer hat die PPA gemacht? - Eine offizielle PPA aus WINE oder LibreOffice wie ppa: libreoffice / ppa und eine PPA, die ich selbst erstellt habe, sind nicht gleich. Du kennst mich nicht als PPA-Betreuer, daher ist das Vertrauen und die Sicherheit für mich SEHR niedrig (Da ich ein beschädigtes Paket, inkompatibles Paket oder irgendetwas anderes schlecht gemacht haben könnte), aber für LibreOffice und die PPA bieten sie auf ihrer Website an , DAS gibt ein gewisses Sicherheitsnetz. Je nachdem, wer die PPA erstellt hat, wie lange er oder sie die PPA erstellt und aufrechterhalten hat, wird sich ein wenig darauf auswirken, wie sicher die PPA für Sie ist. PPA's, wie oben in den Kommentaren erwähnt, sind nicht von Canonical zertifiziert.
Wie viele Benutzer haben die PPA verwendet - Zum Beispiel habe ich eine PPA von http://winehq.org in meinem persönlichen PPA. Würdest du ME mit 10 Benutzern vertrauen, die bestätigen, dass meine PPA 6 von ihnen hat, die sagen, dass es scheiße ist, als die, die Scott Ritchie anbietet ppa: ubuntu-wein / ppa in der offiziellen winehq Website. Es hat Tausende von Benutzern (einschließlich mir), die seine PPA verwenden und seiner Arbeit vertrauen. Das ist Arbeit, die mehrere Jahre hinter sich hat.
Wie aktualisiert die PPA ist - Nehmen wir an, Sie verwenden Ubuntu 10.04 oder 10.10, und Sie möchten das spezielle PPA verwenden. Sie finden heraus, dass die letzte Aktualisierung dieser PPA vor 20 Jahren war. O.o. Die Chancen, die Sie bei der Verwendung von THAT PPA haben, sind null. Warum?. Weil die Paketabhängigkeiten, die PPA benötigt, sehr alt sind und vielleicht die aktualisierten ändern so viel Code, dass sie nicht mit dem PPA arbeiten und möglicherweise Ihr System beschädigen, wenn Sie eines der Pakete dieses PPA auf Ihrem System installieren.
Wie aktualisiert ein PPA die Entscheidung, es zu verwenden, wenn er / sie dieses PPA verwenden möchte. Wenn nicht, würden sie lieber nach einem anderen mehr suchen. Sie wollen nicht Banshee 0.1 oder Wine 0.0.0.1 oder OpenOffice 0.1 Beta Alpha Omega Thundercat Edition mit dem neuesten Ubuntu. Was Sie wollen, ist eine PPA, die auf Ihr aktuelles Ubuntu aktualisiert wird. Denken Sie daran, dass eine PPA erwähnt, für was Ubuntu-Version gemacht wird oder für die mehrere Ubuntu-Versionen gemacht wurden.
Hier ein Beispiel für die Versionen, die in der Wine-PPA unterstützt werden:

Hier können Sie sehen, dass diese PPA seit Dinosaurier unterstützt wird.
Eine schlechte Sache über, wie aktualisiert ein PPA ist, wenn der PPA-Betreuer dazu neigt, in die PPA die späteste, größte und Schneideversion eines spezifischen Pakets einzubringen. Der Nachteil davon ist, dass, wenn Sie das letzte von etwas testen werden, Sie einige Fehler finden werden. Versuchen Sie, bei PPAs zu bleiben, die auf eine stabile Version und nicht auf eine unstable, testing oder dev Version aktualisiert werden, da sie Bugs enthalten könnten. Die Idee, das Neueste zu haben, ist auch zu TESTEN und zu sagen, welche Probleme gefunden wurden und sie zu lösen. Ein Beispiel dafür sind die täglichen Xorg PPAs und Daily Mozilla PPAs. Sie erhalten ca. 3 tägliche Updates für X.org oder Firefox, wenn Sie die Dailies erhalten. Dies ist wegen der Arbeit, die Sie dort eingeben und wenn Sie ihre täglichen PPAs verwenden, bedeutet das, dass Sie bei der Fehlersuche oder Entwicklung helfen wollen und NICHT für eine Produktionsumgebung.
Im Grunde bleiben Sie mit dieser 3 und Sie werden sicher sein. Immer nach dem Hersteller / Betreuer der PPA suchen. Immer sehen, ob viele Benutzer es benutzt haben und immer sehen, wie aktualisiert das PPA ist. Orte wie OMGUbuntu, Phoronix, Slashdot, Der H, WebUp8 und auch hier in AskUbuntu gibt es gute Quellen, um viele Benutzer und Artikel zu finden, die über PPAs sprechen und sie empfehlen, die sie getestet haben.
Stabile PPA-Beispiele - LibreOffice, OpenOffice, Banshee, Wein, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sind gute und sichere PPAs aus meiner Erfahrung.
Semi Stabile PPA - X-Swat PPA ist ein in der Mitte PPA zwischen blutenden Rand und stabil.
Blutende Kante PPA - Xorg-Edgers ist eine blitzschnelle PPA, obwohl ich erwähnen sollte, dass diese PPA nach 12.04 immer stabiler geworden ist. Ich würde es immer noch als blutenden Rand markieren, aber es ist stabil genug für Endbenutzer.
Wählbare PPA - Handbremse bietet Hier eine Möglichkeit für den Benutzer zu wählen, wollen Sie eine stabile Version oder wollen Sie die blutende Kante (auch als Snapshot) Version. In diesem Fall können Sie auswählen, was Sie verwenden möchten.
Beachten Sie, dass Sie im Fall der Verwendung von X-Swat ppa mit Xorg-Edgers PPA eine Mischung zwischen den beiden erhalten (mit Priorität gegenüber Xorg-Edgern). Dies liegt daran, dass beide versuchen, fast dieselben Pakete einzubinden, so dass sie sich gegenseitig überschreiben und nur das am meisten aktualisierte in Ihren Repositories angezeigt wird (außer wenn Sie es manuell anweisen, das Paket von X-Swat zu holen).
Einige PPAs aktualisieren möglicherweise einige Ihrer Pakete, wenn Sie sie zu Ihrem Repository hinzufügen, da sie ein bestimmtes Paket mit ihrer eigenen Version überschreiben, damit die PPA-Software korrekt auf Ihrem System funktioniert. Dies können einige Code-Pakete, Python-Versionen, etc .. Andere wie die LibreOffice PPA werden alle Existenz von OpenOffice von Ihrem System entfernen, um die LibreOffice-Pakete dort zu installieren. Lesen Sie im Grunde, was andere Benutzer zu einem bestimmten Paket kommentiert haben und lesen Sie auch, ob das Paket mit Ihrer Ubuntu-Version kompatibel ist.
Wie der unten stehende Kommentar von Jeremy Bicha andeutet, könnte ein blutender Rand (PPAs, die sehr aktuell bleiben, einschließlich Hinzufügen von Alpha, Beta oder RC-Software in der PPA) möglicherweise Ihr gesamtes System beschädigen (im schlimmsten Fall). Jeremy erwähnt ein Beispiel von vielen.
204
2018-04-17 17:57
Um PPA's auf dem Launchpad zu entwickeln, muss der Kontributor den ubuntu-Verhaltenskodex. Dies bedeutet, dass der Entwickler ein Minimum an Standards einhalten muss.
Normalerweise sollten die Leute dann die ubuntuforums konsultieren, um zu sehen, wer bestimmte PPAs benutzt hat und ob sie irgendwelche Probleme verursachen könnten.
Für einen "Anfänger" oder "Anfänger" ist mein bester Rat, PPA's zu meiden, bis Sie sicher sind, dass Sie ein paar Dinge über die Befehlszeile, mögliche Fehlermeldungen und ein paar Dinge verstehen, wie Sie Probleme diagnostizieren können.
Um PPAs zu entfernen, die Probleme verursachen, können Sie die meiste Zeit verwenden "ppa_purge"
Wenn Sie nervös sind, dann überlegen Sie sich ein Image-Backup Ihres Computers mit einem Tool wie Klonenzilla. Wenn also etwas schief läuft und Sie es nicht lösen können, haben Sie zumindest eine schnelle Möglichkeit, Ihren Computer wieder auf den ursprünglichen Stand zu bringen, bevor Sie mit dem Spielen begonnen haben.
Nichtsdestoweniger sind PPAs äußerst nützlich, um die neuesten Versionen von Software zu erhalten - besonders für diejenigen, die nicht versuchen, alle 6 Monate ein Upgrade durchzuführen und bei der LTS-Version von Ubuntu zu bleiben.
55
2018-04-17 17:27
Es ist nicht nur eine Frage von Malware, wie bereits gesagt wurde. Es ist auch möglich, dass ein Teil der Software tatsächlich noch in der Testphase ist und nicht für den produktiven Einsatz bereit ist. Wenn Sie es installieren und sich darauf verlassen, um Arbeit zu erledigen, stellen Sie vielleicht fest, dass es fehlerhaft, unzuverlässig ist und abstürzen kann - und Sie ohne die von Ihnen geleistete Arbeit verlassen.
Einige davon könnten auch mit anderen Aspekten von Ubuntu, wie Unity oder Gnome, nicht gut zurechtkommen, was Probleme verursachen würde, die schwer zu verfolgen sind und vielleicht sogar Ihr System instabil machen.
Dies liegt nicht daran, dass die Software schlecht ist, sondern weil sie vielleicht noch nicht vollständig getestet wurde, oder weil sie zur Verfügung gestellt wurde, so dass Leute sie testen konnten, aber noch nicht allgemein als Produktionssoftware veröffentlicht werden sollten. Sie sollten also Vorsicht walten lassen, obwohl einige davon wirklich gut sind.
Vor einigen Monaten habe ich ein empfohlenes Paket von einem bestimmten PPA installiert, und es hat mein System soweit zerstört, dass ich Ubuntu neu installieren musste. Ich war ein neuer Benutzer und wusste nicht, was ich sonst tun sollte; Mit etwas mehr Wissen hätte ich vielleicht das Problem lösen und wiederherstellen können, ohne eine Neuinstallation durchzuführen (obwohl das auch für mich beim Lernen von Ubuntu nützlich war, aber wenn ich auf meinem Computer gespeichert hätte, hätte ich es verloren) .
Also seien Sie vorsichtig, stellen Sie Fragen, machen Sie häufige Backups (!!!) und wissen Sie, dass Malware unwahrscheinlich (wenn auch nicht unmöglich) ist.
21
2017-12-01 20:52
Alle von anderen hier aufgeführten Bedenken sind äußerst wichtig zu verstehen. Da dies Open Source ist, können wir genau sagen, was das PPA von der Version des Pakets in Ubuntu geändert hat. Wir werden die PPA von verwenden dieses Duplikat als Beispiel.
Zuerst holen wir uns die Quelle aus dem PPA dget
ein Tool, das alle Teile eines Debian - Quellpakets mit einem Link zum dsc
Datei:
dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc
Ich habe diesen Link gefunden, indem ich auf "Paketdetails anzeigen" geklickt habe:

Und dann:

Als nächstes erhalten wir die Quelle des Pakets im Ubuntu-Archiv:
apt-get source unity
Schließlich werden wir verwenden debdiff
um die Unterschiede zwischen der Quelle der beiden Pakete zu sehen:
debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc
Die Ausgabe dieses Befehls ist etwa dreihundert Zeilen lang, also werde ich es auf eine Pastebin legen statt direkt in das Fenster. Nun, ich kann nicht dafür bürgen, wie gut der Code ist, da ich C ++ nicht wirklich kenne, aber es scheint zu tun, was es behauptet und nichts bösartiges.
17
2018-06-05 14:14
Ein PPA ist ein Webordner, der Software enthält, die Sie installieren können. Es ist wirklich nicht viel komplizierter als das. Wenn Sie ein Paket installieren, tun Sie das mit root-Rechten, und das Paket hat Skripts, die ausgeführt werden, sodass sie als root ausgeführt werden. Das bedeutet, dass die Installation von Software gefährlich ist und Sie dem Entwickler oder Distributor vertrauen müssen.
Ein passendes Archiv, PPA oder andere, wird regelmäßig nach Updates für die von Ihnen installierte Software abgefragt. Das "Problem" dabei ist, dass jeder ein neueres Softwarepaket zur Verfügung stellen kann, das Sie installiert haben. Zum Beispiel können Sie ein PPA hinzufügen, um ein schönes Thema und automatische Updates dieses Themas zu erhalten. Aber sobald Sie dieses Repository hinzugefügt haben, kann der Besitzer beispielsweise ein gepatchtes openssh-server-Paket hinzufügen und es wird als Update in Ubuntu angezeigt. Dies kann ein Jahr nach dem Hinzufügen der PPA erfolgen, so dass Sie auf Updates achten müssen.
Das PPA-System verhindert jedoch, dass Dritte die Pakete manipulieren. Wenn Sie also dem Entwickler / Distributor vertrauen, sind PPAs sehr sicher. Wenn Sie beispielsweise Google Chrome installieren, fügen sie eine PPA hinzu, damit Sie automatische Updates erhalten. Sie fügen "deb http://dl.google.com/linux/chrome/deb/ stable main ". Wenn der DNS-Server, den Sie verwenden, so gehackt wurde, dass er dl.google.com an anderer Stelle zeigt, könnte er Patched-Software auf alle installieren, die Chrome installiert haben. Aber Ubuntu würde sich weigern, sie zu installieren, da sie nicht mit Googles signiert werden konnten privater Schlüssel. In dieser Hinsicht sind PPAs sehr sicher.
Es ist nicht möglich zu sagen, dass ein PPA sicher ist oder nicht. Es hängt von den Leuten ab, die es verwenden, um Software zu verteilen. Mit freier Software können die Leute die Quelle anschauen und sehen, ob sie sicher ist oder nicht. Wenn viele Leute ein Archiv benutzen, wie Ubuntus reguläre Archive, dann hast du einen Peer Review. Kleine Archive mit wenigen Benutzern haben das nicht, daher sind sie weniger vertrauenswürdig. Die wichtigste Erkenntnis ist, dass Sie, egal welches System Sie verwenden, vorsichtig sein sollten, wenn Sie Software installieren.
13
2017-08-29 18:50
Auf etwas aufbauen Luis Alvarados Antwort, Sie sollten sich dieser Risiken bewusst sein:
- Schädliche Pakete-Pakete könnten versuchen, dir zu schaden. Dies ist für sie einfach, da sie beliebigen Code mit Administratorrechten ausführen können.
- Schlechte Qualität oder inkompatible Software- Eine Anwendung funktioniert möglicherweise nicht gut. Es kann versehentlich Schäden verursachen, indem es beispielsweise andere Software beeinträchtigt, Daten zerstört oder private Informationen verliert.
und Sie sollten auf diese Faktoren achten:
- Ehrlichkeit des Betreuers- Könnte der Betreuer heimlich versuchen, dir zu schaden?
- Sicherheit des Betreuers-Ist der Betreuer anfällig für Angriffe Dritter?
- Zuverlässigkeit des Betreuers-Wird der Betreuer innerhalb eines angemessenen Zeitraums auf die Notwendigkeit von Updates reagieren? Sind sie verpflichtet, die PPA langfristig aufrechtzuerhalten?
- Sicherheit des Repositories- Sind Pakete vom Betreuer unterschrieben?
- Leistung der Software-Ist die Software fehlerfrei und kompatibel mit Ihrem System?
12
2017-11-06 17:48
Die Pakete auf PPAs werden nicht auf Dinge wie Malware überprüft. Während jemand vielleicht etwas wie XBMC für Sie verpackt, könnte es sehr leicht sein, dass Sie auch etwas Spyware / Malware hinzufügen. Deshalb sollten Sie nicht einfach irgendein zufälliges PPA hinzufügen.
8
2017-12-01 20:16
Wenn Sie ppa hinzufügen und ein Programm installieren.
Grundsätzlich geben Sie die Erlaubnis, das Programm im erlaubten ausführbaren Bereich zu belassen (/ bin / / sbin / / usr / bin /).
Nun, wenn das Programm selbst eine Malware ist / hat, dann wird sich das System nicht darüber beschweren, denn Sie sind derjenige, der ppa unter Berücksichtigung seiner Vertrauenswürdigkeit hinzugefügt hat.
Wenn das Programm von den Ubuntu-Repositories kommt, werden sie zuerst überprüft (ich möchte es gründlich sagen, aber ich weiß nicht: P), also sind die aus den Ubuntu-Repositories sicherlich frei von Malware / Spyware.
Für jeden anderen ppa ist es Ihnen / Benutzer zu entscheiden, ob Sie ihm vertrauen oder nicht.
3
2017-12-01 20:22