Frage Können PPAs sicher zu meinem System hinzugefügt werden und auf welche "roten Fahnen" müssen Sie achten?


Ich sehe viele interessante Programme, die nur durch Hinzufügen eines "PPA" zu dem System erhalten werden können, aber wenn ich richtig verstehe, sollten wir innerhalb der offiziellen "Repositories" bleiben, um Software zu unserem System hinzuzufügen.

Gibt es eine Möglichkeit für einen Neuling zu wissen, ob ein "PPA" sicher ist oder vermieden werden sollte? Welche Tipps sollte der Benutzer im Umgang mit einem PPA beachten?


282
2018-04-17 16:31


Ursprung


Siehe auch: askubuntu.com/questions/7662/ ... - Mechanical snail
Du könntest prüfen, ob es ein snappy Paket auch verfügbar. Sie sind in der Regel durch Sicherheitsregeln begrenzt. Sie müssen bestimmten Snapshots bestimmte Berechtigungen explizit erteilen, obwohl das allgemeine Problem dasselbe ist (Sie müssen dem Herausgeber vertrauen). - Ken Sharp


Antworten:


PPA (Persönliches Paket Archiv) werden verwendet, um eine spezifische Software zu Ihrem Ubuntu, Kubuntu oder jeder anderen PPA kompatiblen Distribution hinzuzufügen. Das "Sicherheit"eines PPA hängt hauptsächlich von 3 Dingen ab:

  1. Wer hat die PPA gemacht? - Eine offizielle PPA aus WINE oder LibreOffice wie ppa: libreoffice / ppa und eine PPA, die ich selbst erstellt habe, sind nicht gleich. Du kennst mich nicht als PPA-Betreuer, daher ist das Vertrauen und die Sicherheit für mich SEHR niedrig (Da ich ein beschädigtes Paket, inkompatibles Paket oder irgendetwas anderes schlecht gemacht haben könnte), aber für LibreOffice und die PPA bieten sie auf ihrer Website an , DAS gibt ein gewisses Sicherheitsnetz. Je nachdem, wer die PPA erstellt hat, wie lange er oder sie die PPA erstellt und aufrechterhalten hat, wird sich ein wenig darauf auswirken, wie sicher die PPA für Sie ist. PPA's, wie oben in den Kommentaren erwähnt, sind nicht von Canonical zertifiziert.

  2. Wie viele Benutzer haben die PPA verwendet - Zum Beispiel habe ich eine PPA von http://winehq.org in meinem persönlichen PPA. Würdest du ME mit 10 Benutzern vertrauen, die bestätigen, dass meine PPA 6 von ihnen hat, die sagen, dass es scheiße ist, als die, die Scott Ritchie anbietet ppa: ubuntu-wein / ppa in der offiziellen winehq Website. Es hat Tausende von Benutzern (einschließlich mir), die seine PPA verwenden und seiner Arbeit vertrauen. Das ist Arbeit, die mehrere Jahre hinter sich hat.

  3. Wie aktualisiert die PPA ist - Nehmen wir an, Sie verwenden Ubuntu 10.04 oder 10.10, und Sie möchten das spezielle PPA verwenden. Sie finden heraus, dass die letzte Aktualisierung dieser PPA vor 20 Jahren war. O.o. Die Chancen, die Sie bei der Verwendung von THAT PPA haben, sind null. Warum?. Weil die Paketabhängigkeiten, die PPA benötigt, sehr alt sind und vielleicht die aktualisierten ändern so viel Code, dass sie nicht mit dem PPA arbeiten und möglicherweise Ihr System beschädigen, wenn Sie eines der Pakete dieses PPA auf Ihrem System installieren.

    Wie aktualisiert ein PPA die Entscheidung, es zu verwenden, wenn er / sie dieses PPA verwenden möchte. Wenn nicht, würden sie lieber nach einem anderen mehr suchen. Sie wollen nicht Banshee 0.1 oder Wine 0.0.0.1 oder OpenOffice 0.1 Beta Alpha Omega Thundercat Edition mit dem neuesten Ubuntu. Was Sie wollen, ist eine PPA, die auf Ihr aktuelles Ubuntu aktualisiert wird. Denken Sie daran, dass eine PPA erwähnt, für was Ubuntu-Version gemacht wird oder für die mehrere Ubuntu-Versionen gemacht wurden.

    Hier ein Beispiel für die Versionen, die in der Wine-PPA unterstützt werden:

    enter image description here

    Hier können Sie sehen, dass diese PPA seit Dinosaurier unterstützt wird.

    Eine schlechte Sache über, wie aktualisiert ein PPA ist, wenn der PPA-Betreuer dazu neigt, in die PPA die späteste, größte und Schneideversion eines spezifischen Pakets einzubringen. Der Nachteil davon ist, dass, wenn Sie das letzte von etwas testen werden, Sie einige Fehler finden werden. Versuchen Sie, bei PPAs zu bleiben, die auf eine stabile Version und nicht auf eine unstable, testing oder dev Version aktualisiert werden, da sie Bugs enthalten könnten. Die Idee, das Neueste zu haben, ist auch zu TESTEN und zu sagen, welche Probleme gefunden wurden und sie zu lösen. Ein Beispiel dafür sind die täglichen Xorg PPAs und Daily Mozilla PPAs. Sie erhalten ca. 3 tägliche Updates für X.org oder Firefox, wenn Sie die Dailies erhalten. Dies ist wegen der Arbeit, die Sie dort eingeben und wenn Sie ihre täglichen PPAs verwenden, bedeutet das, dass Sie bei der Fehlersuche oder Entwicklung helfen wollen und NICHT für eine Produktionsumgebung.

Im Grunde bleiben Sie mit dieser 3 und Sie werden sicher sein. Immer nach dem Hersteller / Betreuer der PPA suchen. Immer sehen, ob viele Benutzer es benutzt haben und immer sehen, wie aktualisiert das PPA ist. Orte wie OMGUbuntu, Phoronix, Slashdot, Der H, WebUp8 und auch hier in AskUbuntu gibt es gute Quellen, um viele Benutzer und Artikel zu finden, die über PPAs sprechen und sie empfehlen, die sie getestet haben.

Stabile PPA-Beispiele - LibreOffice, OpenOffice, Banshee, Wein, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sind gute und sichere PPAs aus meiner Erfahrung.

Semi Stabile PPA - X-Swat PPA ist ein in der Mitte PPA zwischen blutenden Rand und stabil.

Blutende Kante PPA - Xorg-Edgers ist eine blitzschnelle PPA, obwohl ich erwähnen sollte, dass diese PPA nach 12.04 immer stabiler geworden ist. Ich würde es immer noch als blutenden Rand markieren, aber es ist stabil genug für Endbenutzer.

Wählbare PPA - Handbremse bietet Hier eine Möglichkeit für den Benutzer zu wählen, wollen Sie eine stabile Version oder wollen Sie die blutende Kante (auch als Snapshot) Version. In diesem Fall können Sie auswählen, was Sie verwenden möchten.

Beachten Sie, dass Sie im Fall der Verwendung von X-Swat ppa mit Xorg-Edgers PPA eine Mischung zwischen den beiden erhalten (mit Priorität gegenüber Xorg-Edgern). Dies liegt daran, dass beide versuchen, fast dieselben Pakete einzubinden, so dass sie sich gegenseitig überschreiben und nur das am meisten aktualisierte in Ihren Repositories angezeigt wird (außer wenn Sie es manuell anweisen, das Paket von X-Swat zu holen).

Einige PPAs aktualisieren möglicherweise einige Ihrer Pakete, wenn Sie sie zu Ihrem Repository hinzufügen, da sie ein bestimmtes Paket mit ihrer eigenen Version überschreiben, damit die PPA-Software korrekt auf Ihrem System funktioniert. Dies können einige Code-Pakete, Python-Versionen, etc .. Andere wie die LibreOffice PPA werden alle Existenz von OpenOffice von Ihrem System entfernen, um die LibreOffice-Pakete dort zu installieren. Lesen Sie im Grunde, was andere Benutzer zu einem bestimmten Paket kommentiert haben und lesen Sie auch, ob das Paket mit Ihrer Ubuntu-Version kompatibel ist.

Wie der unten stehende Kommentar von Jeremy Bicha andeutet, könnte ein blutender Rand (PPAs, die sehr aktuell bleiben, einschließlich Hinzufügen von Alpha, Beta oder RC-Software in der PPA) möglicherweise Ihr gesamtes System beschädigen (im schlimmsten Fall). Jeremy erwähnt ein Beispiel von vielen.


204
2018-04-17 17:57



Ist das wahr für die Vielzahl von PPAs, die Sie installieren müssen, um Themen wie Tagundnachtgleiche, elementare usw. zu bekommen? - abel
Ja. Es gilt für jede PPA. Denken Sie daran, dass ein PPA nur eine einfache Möglichkeit ist, ein Programm oder eine Gruppe von Programmen über jemanden zu aktualisieren, der sie in ihre Zeit aufnimmt, um sie zu aktualisieren. Es ist also ein Ort, an dem sich jemand seiner Zeit widmet, damit etwas aktualisiert wird oder mit dem neuesten / älteren System kompatibel ist. Aber da es ein Mensch ist, der es tut, könnte es Fehler auf dem Weg geben. - Luis Alvarado♦
Wie erkennt man, wie viele Benutzer ein PPA hat? - damien
Bietet das Hinzufügen einer PPA Hackern einige Löcher zum Durchlaufen? - mathmaniage


Um PPA's auf dem Launchpad zu entwickeln, muss der Kontributor den ubuntu-Verhaltenskodex. Dies bedeutet, dass der Entwickler ein Minimum an Standards einhalten muss.

Normalerweise sollten die Leute dann die ubuntuforums konsultieren, um zu sehen, wer bestimmte PPAs benutzt hat und ob sie irgendwelche Probleme verursachen könnten.

Für einen "Anfänger" oder "Anfänger" ist mein bester Rat, PPA's zu meiden, bis Sie sicher sind, dass Sie ein paar Dinge über die Befehlszeile, mögliche Fehlermeldungen und ein paar Dinge verstehen, wie Sie Probleme diagnostizieren können.

Um PPAs zu entfernen, die Probleme verursachen, können Sie die meiste Zeit verwenden "ppa_purge"

Wenn Sie nervös sind, dann überlegen Sie sich ein Image-Backup Ihres Computers mit einem Tool wie Klonenzilla. Wenn also etwas schief läuft und Sie es nicht lösen können, haben Sie zumindest eine schnelle Möglichkeit, Ihren Computer wieder auf den ursprünglichen Stand zu bringen, bevor Sie mit dem Spielen begonnen haben.

Nichtsdestoweniger sind PPAs äußerst nützlich, um die neuesten Versionen von Software zu erhalten - besonders für diejenigen, die nicht versuchen, alle 6 Monate ein Upgrade durchzuführen und bei der LTS-Version von Ubuntu zu bleiben.


55
2018-04-17 17:27



Ich würde Ihre Antwort an der Spitze nur für die Beratung von Neulingen lieben. :( - Braiam
@fossFreedom: Erhalte ich automatische Updates, wenn ich via PPA oder apt-get install Nützlichkeit - Rajat Gupta
@ user01 - Wenn die Person, die den PPA erstellt hat, das Paket mit einer neuen Version aktualisiert, ja - Sie erhalten das Update automatisch, wenn Sie zuerst den PPA hinzugefügt haben apt-get install package - fossfreedom♦
Natürlich wird ein böswilliger Benutzer nicht durch den Code of Conduct gestoppt werden müssen ... - evilsoup
Backups werden Sie nicht vor digitalem Diebstahl bewahren (z. B. wenn ein böswilliger PPA Ihren Browser mit Cookies oder ssh-Schlüsseln nach Hause schickt). Wenn Sie sich wirklich nervös fühlen, sollte es sicher sein, das PPA innerhalb einer virtuellen Maschine, eines Containers oder einer virtuellen Maschine zu installieren und auszuführen Schroot. - joeytwiddle


Es ist nicht nur eine Frage von Malware, wie bereits gesagt wurde. Es ist auch möglich, dass ein Teil der Software tatsächlich noch in der Testphase ist und nicht für den produktiven Einsatz bereit ist. Wenn Sie es installieren und sich darauf verlassen, um Arbeit zu erledigen, stellen Sie vielleicht fest, dass es fehlerhaft, unzuverlässig ist und abstürzen kann - und Sie ohne die von Ihnen geleistete Arbeit verlassen.

Einige davon könnten auch mit anderen Aspekten von Ubuntu, wie Unity oder Gnome, nicht gut zurechtkommen, was Probleme verursachen würde, die schwer zu verfolgen sind und vielleicht sogar Ihr System instabil machen.

Dies liegt nicht daran, dass die Software schlecht ist, sondern weil sie vielleicht noch nicht vollständig getestet wurde, oder weil sie zur Verfügung gestellt wurde, so dass Leute sie testen konnten, aber noch nicht allgemein als Produktionssoftware veröffentlicht werden sollten. Sie sollten also Vorsicht walten lassen, obwohl einige davon wirklich gut sind.

Vor einigen Monaten habe ich ein empfohlenes Paket von einem bestimmten PPA installiert, und es hat mein System soweit zerstört, dass ich Ubuntu neu installieren musste. Ich war ein neuer Benutzer und wusste nicht, was ich sonst tun sollte; Mit etwas mehr Wissen hätte ich vielleicht das Problem lösen und wiederherstellen können, ohne eine Neuinstallation durchzuführen (obwohl das auch für mich beim Lernen von Ubuntu nützlich war, aber wenn ich auf meinem Computer gespeichert hätte, hätte ich es verloren) .

Also seien Sie vorsichtig, stellen Sie Fragen, machen Sie häufige Backups (!!!) und wissen Sie, dass Malware unwahrscheinlich (wenn auch nicht unmöglich) ist.


21
2017-12-01 20:52





Alle von anderen hier aufgeführten Bedenken sind äußerst wichtig zu verstehen. Da dies Open Source ist, können wir genau sagen, was das PPA von der Version des Pakets in Ubuntu geändert hat. Wir werden die PPA von verwenden dieses Duplikat als Beispiel.

Zuerst holen wir uns die Quelle aus dem PPA dget ein Tool, das alle Teile eines Debian - Quellpakets mit einem Link zum dsc Datei:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ich habe diesen Link gefunden, indem ich auf "Paketdetails anzeigen" geklickt habe:

View package details

Und dann:

find dsc file

Als nächstes erhalten wir die Quelle des Pakets im Ubuntu-Archiv:

apt-get source unity

Schließlich werden wir verwenden debdiff um die Unterschiede zwischen der Quelle der beiden Pakete zu sehen:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Die Ausgabe dieses Befehls ist etwa dreihundert Zeilen lang, also werde ich es auf eine Pastebin legen statt direkt in das Fenster. Nun, ich kann nicht dafür bürgen, wie gut der Code ist, da ich C ++ nicht wirklich kenne, aber es scheint zu tun, was es behauptet und nichts bösartiges.


17
2018-06-05 14:14



+1, aber deine Pastebin-Verbindung ist unterbrochen. - unforgettableid


Ein PPA ist ein Webordner, der Software enthält, die Sie installieren können. Es ist wirklich nicht viel komplizierter als das. Wenn Sie ein Paket installieren, tun Sie das mit root-Rechten, und das Paket hat Skripts, die ausgeführt werden, sodass sie als root ausgeführt werden. Das bedeutet, dass die Installation von Software gefährlich ist und Sie dem Entwickler oder Distributor vertrauen müssen.

Ein passendes Archiv, PPA oder andere, wird regelmäßig nach Updates für die von Ihnen installierte Software abgefragt. Das "Problem" dabei ist, dass jeder ein neueres Softwarepaket zur Verfügung stellen kann, das Sie installiert haben. Zum Beispiel können Sie ein PPA hinzufügen, um ein schönes Thema und automatische Updates dieses Themas zu erhalten. Aber sobald Sie dieses Repository hinzugefügt haben, kann der Besitzer beispielsweise ein gepatchtes openssh-server-Paket hinzufügen und es wird als Update in Ubuntu angezeigt. Dies kann ein Jahr nach dem Hinzufügen der PPA erfolgen, so dass Sie auf Updates achten müssen.

Das PPA-System verhindert jedoch, dass Dritte die Pakete manipulieren. Wenn Sie also dem Entwickler / Distributor vertrauen, sind PPAs sehr sicher. Wenn Sie beispielsweise Google Chrome installieren, fügen sie eine PPA hinzu, damit Sie automatische Updates erhalten. Sie fügen "deb http://dl.google.com/linux/chrome/deb/ stable main ". Wenn der DNS-Server, den Sie verwenden, so gehackt wurde, dass er dl.google.com an anderer Stelle zeigt, könnte er Patched-Software auf alle installieren, die Chrome installiert haben. Aber Ubuntu würde sich weigern, sie zu installieren, da sie nicht mit Googles signiert werden konnten privater Schlüssel. In dieser Hinsicht sind PPAs sehr sicher.

Es ist nicht möglich zu sagen, dass ein PPA sicher ist oder nicht. Es hängt von den Leuten ab, die es verwenden, um Software zu verteilen. Mit freier Software können die Leute die Quelle anschauen und sehen, ob sie sicher ist oder nicht. Wenn viele Leute ein Archiv benutzen, wie Ubuntus reguläre Archive, dann hast du einen Peer Review. Kleine Archive mit wenigen Benutzern haben das nicht, daher sind sie weniger vertrauenswürdig. Die wichtigste Erkenntnis ist, dass Sie, egal welches System Sie verwenden, vorsichtig sein sollten, wenn Sie Software installieren.


13
2017-08-29 18:50





Auf etwas aufbauen Luis Alvarados Antwort, Sie sollten sich dieser Risiken bewusst sein:

  • Schädliche Pakete-Pakete könnten versuchen, dir zu schaden. Dies ist für sie einfach, da sie beliebigen Code mit Administratorrechten ausführen können.
  • Schlechte Qualität oder inkompatible Software- Eine Anwendung funktioniert möglicherweise nicht gut. Es kann versehentlich Schäden verursachen, indem es beispielsweise andere Software beeinträchtigt, Daten zerstört oder private Informationen verliert.

und Sie sollten auf diese Faktoren achten:

  • Ehrlichkeit des Betreuers- Könnte der Betreuer heimlich versuchen, dir zu schaden?
  • Sicherheit des Betreuers-Ist der Betreuer anfällig für Angriffe Dritter?
  • Zuverlässigkeit des Betreuers-Wird der Betreuer innerhalb eines angemessenen Zeitraums auf die Notwendigkeit von Updates reagieren? Sind sie verpflichtet, die PPA langfristig aufrechtzuerhalten?
  • Sicherheit des Repositories- Sind Pakete vom Betreuer unterschrieben?
  • Leistung der Software-Ist die Software fehlerfrei und kompatibel mit Ihrem System?

12
2017-11-06 17:48





Die Pakete auf PPAs werden nicht auf Dinge wie Malware überprüft. Während jemand vielleicht etwas wie XBMC für Sie verpackt, könnte es sehr leicht sein, dass Sie auch etwas Spyware / Malware hinzufügen. Deshalb sollten Sie nicht einfach irgendein zufälliges PPA hinzufügen.


8
2017-12-01 20:16



Kannst du bitte sagen was genau XMBC ist, bin ich ein ganz neuer Ubu - kernel_panic
XBMC ist eine Media Center Software. Es ist eine gute und sichere Software. Er benutzte es nur als Beispiel, es könnte irgendeine Software sein. - Anonymous
Was kann eine Malware in Ubuntu tun, sie sollte um Erlaubnis für alles und alles bitten? - kernel_panic
Sobald Sie es installiert haben (d. H. Root-Berechtigung zum Kopieren seiner Dateien in Systemverzeichnisse und zum Ausführen von benutzerdefinierten Skripten erhalten), kann es mit dem System alles tun, was es wünscht. Aus diesem Grund ist es wichtig, Pakete von vertrauenswürdigen Quellen zu installieren. - arrange
Falsch. Wenn Sie eine Software installieren, sind Sie dabei root. Es ist ziemlich einfach, diese Erlaubnis zu nehmen und schlechte Dinge zu tun. - tgm4883


Wenn Sie ppa hinzufügen und ein Programm installieren.

Grundsätzlich geben Sie die Erlaubnis, das Programm im erlaubten ausführbaren Bereich zu belassen (/ bin / / sbin / / usr / bin /).

Nun, wenn das Programm selbst eine Malware ist / hat, dann wird sich das System nicht darüber beschweren, denn Sie sind derjenige, der ppa unter Berücksichtigung seiner Vertrauenswürdigkeit hinzugefügt hat.

Wenn das Programm von den Ubuntu-Repositories kommt, werden sie zuerst überprüft (ich möchte es gründlich sagen, aber ich weiß nicht: P), also sind die aus den Ubuntu-Repositories sicherlich frei von Malware / Spyware.

Für jeden anderen ppa ist es Ihnen / Benutzer zu entscheiden, ob Sie ihm vertrauen oder nicht.


3
2017-12-01 20:22



Was kann eine Malware in Ubuntu tun, sie sollte um Erlaubnis für alles und alles bitten? - kernel_panic
Wenn Sie die Software installieren, werden Sie nach einer Root-Berechtigung gefragt (der Bildschirm wird dunkler und Sie geben Ihr Passwort ein). An diesem Punkt könnte es tun etwas: lösche alles aus deiner Box, installiere einen Keylogger, ändere deinen Desktophintergrund in hallo kitty, etwas. - SCdF
owh !!!! Danke vielmals!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: Während der Installation wird um Erlaubnis gebeten, sich im ausführbaren Bereich zu befinden, sobald es dort ist, kann es leicht auf alle Nicht-Su-Informationen zugreifen. Es gibt Programme, die eine Berechtigung zum Ausführen benötigen, aber wenn das Programm selbst zusätzliches Gepäck (gelesene Malware) während des Paketierens hinzugefügt hat, kann es ohne Probleme ausgeführt werden, wenn Sie Ihr Passwort eingeben. - wisemonkey
Entwickler-PPAs sind die sicherste Route und müssen auch die Dauer des Mitwirkenden bei Launchpad anzeigen. Diese Faktoren garantieren ein sicheres und stabiles System mit PPAs für die neuesten Programme. Ich habe diese Route gefunden, um meinen LTS mit den neuen Versionen von Programmen, die ich verwende, lange am Laufen zu halten. - Arup Roy Chowdhury