PPA'ları sistemime eklemek güvenli midir ve dikkat edilmesi gereken bazı “kırmızı bayraklar” nelerdir?

281

Ben sadece sisteme bir "PPA" ekleyerek elde edilebilecek birçok ilginç program görüyorum ama eğer doğru anlıyorsam, sistemimize yazılım eklemek için resmi "depolar" içinde kalmalıyız. .

Bir "PPA" nın güvenli olup olmadığını veya kaçınılması gerektiğinde bir acemi için bir yolu var mı? Kullanıcı bir PPA ile uğraşırken ne tür ipuçları almalıdır?.

    
sordu Rob 17.04.2011 18:31

8 cevap

203

PPA ( Kişisel Paket Arşivi ) Ubuntu'nuza, Kubuntu'nıza veya başka bir PPA uyumlu bilgisayarınıza özel bir yazılım eklemek için kullanılır. dağıtıma. Bir PPA'nın " güvencesi " çoğunlukla 3 şeye bağlıdır:

  1. KKE'yi kimler yaptı? - Kendimi yarattığım bir PPA ve WINE'dan resmi bir PPA veya LibreOffice ppa: libreoffice / ppa gibi bir PPA aynı değildir. Beni bir PPA bakıcısı olarak tanımıyorsunuz, bu yüzden güven sorunu ve güvenliği benim için çok düşük (Bozuk bir paket, uyumsuz paket ya da başka bir şey kötü yapabildiğim için), ancak LibreOffice ve web sitelerinde sundukları PPA için Bu, ona belirli bir güvenlik ağı verir. PPA'yı kimlerin yaptıklarına bağlı olarak, PPA'nın ne kadar süredir devam ettiğini ve bakımını yaptığını, PPA'nın sizin için ne kadar güvenli olduğunu birazcık etkileyecektir. PPA'lar, yorumlarda belirtildiği gibi, Canonical tarafından onaylanmamıştır.

  2. Kaç kullanıcı PPA kullandı - Örneğin, İşte ’den bir PPA’m var kişisel PPA. PPA'mın 6 tanesini, resmi winehq web sitesinde ppa: ubuntu-wine / ppa gibi bir Scott Ritchie teklifinden çok daha az olduğunu söyleyen 10 kullanıcı ile güvenir misiniz? PPA'sını kullanan ve çalışmalarına güvenen binlerce kullanıcı (benim dahil) var. Bunun arkasında birkaç yıl olan iş var.

  3. PPA'nın güncellenmesi - Ubuntu 10.04 veya 10.10'u kullandığınızı ve bu özel PPA'yı kullanmak istediğinizi varsayalım. PPA'nın son güncellemesinin 20 yıl önce olduğunu öğrendiniz. Bu PPA'yı kullanma olasılığınız sıfır. Niye ya?. PPA'nın ihtiyaç duyduğu paket bağımlılıkları çok eski ve belki de güncellenmiş olanlar, PPA ile çalışmayacakları ve bu PPA'nın herhangi bir paketini sisteminize yüklerseniz muhtemelen sisteminizi bozacakları çok fazla kod değiştirdiler.

    Bir PPA'nın, bu PPA'yı kullanmak istediği takdirde kullanma kararını nasıl etkilediği. Aksi takdirde, daha güncel bir tane daha aramak isterler. En son Ubuntu ile Banshee 0.1 veya Şarap 0.0.0.1 veya OpenOffice 0.1 Beta Alpha Omega Thundercat Edition istemiyorum. İstediğinizi, mevcut Ubuntu'nuza güncellenen bir PPA'dır. Bir PPA'nın Ubuntu sürümünün ne için yapıldığı veya birden fazla Ubuntu sürümü için yapıldığından bahsedildiğini unutmayın.

    Bunun bir örneği olarak, Şarap PPA'sında desteklenen sürümlerin bir resmi:

    Burada, bu PPA'nın Dinozorlardan beri desteklendiğini görebilirsiniz.

    Bir PPA'nın güncellenmiş haliyle ilgili bir KÖTÜ şey, eğer PPA sürdürücüsü, PPA'ya belirli bir paketin en yeni, en büyük ve en son sürümünü uyarsa. Bunun aşağı tarafı, bir şeyin en sonunu test edecekseniz, bazı hatalar bulmanızdır. Hatalar içerebileceğinden / içereceğinden, sabit bir sürüme güncellenen ve dengesiz, test veya dev sürümü olmayan PPA'larla uğraşmaya çalışın. En sonun sahibi olma fikri de TEST'tir ve hangi problemlerin bulunduğunu söyler ve çözer. Bunun bir örneği günlük Xorg PPA'ları ve Günlük Mozilla PPA'larıdır. Günlükleri alırsanız X.org veya Firefox için yaklaşık 3 günlük güncelleme alırsınız. Bunun sebebi işin içine konmasıdır ve günlük PPA'larını kullanmaktansa, bu, bir üretim ortamı için hata avcılığına veya geliştirmeye ve NOT'lara yardımcı olmak istediğiniz anlamına gelir.

Temelde bu 3 ile sopa ve güvende olacaksın. Her zaman PPA'nın üreticisi / bakıcısına bakın. Her zaman birçok kullanıcının kullanıp kullanmadığını görün ve her zaman PPA'nın ne kadar güncellenmiş olduğunu görün. OMGUbuntu , Phoronix , Slashdot , H , WebUp8 ve hatta burada bile AskUbuntu'da çok sayıda kullanıcı ve makaleyi bulmak için PPA'ları öneren ve tavsiye eden iyi kaynaklar var. test ettim.

Sabit PPA Örnekleri - LibreOffice, OpenOffice, Banshee, Şarap, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC, MY deneyimimin iyi ve güvenli PPA'larıdır.

Yarı Istikrarlı PPA - X-Swat PPA, kanama kenarı ile sabit arasında ortadaki bir PPA'dır.

Kanama Kenarı PPA - Xorg-Edgers, 12.04'ten sonra PPA'nın daha kararlı hale geldiğinden bahsetmem gerekse de, bir kanayan kenar PPA'dır. Bunu hala kanama kenarı olarak işaretlerdim ama son kullanıcılar için yeterince kararlı.

Seçilebilir PPA - El freni, kullanıcının seçmesi için burada bir yol sunar. sürüm veya kanama kenarı (Ayrıca Anlık Görüntü olarak da bilinir) sürümünü istiyor musunuz. Bu durumda ne kullanmak istediğinizi seçebilirsiniz.

Örneğin Xorg-Edgers PPA ile X-Swat ppa kullanılması durumunda, ikisi arasında bir karışıklık olacağını unutmayın (Öncelikle Xorg-Edger'lere doğru). Bunun nedeni, her ikisinin de hemen hemen aynı paketleri içermesidir, böylece birbirlerinin üzerine yazacaklar ve yalnızca en güncel olanı depolarınızda gösterecektir (El ile paketin X-Swat'dan almasını anlamanız dışında).

Bazı PPA'lar, bazı paketlerinizi deponuza eklediğinizde güncelleştirebilir, çünkü PPA yazılımının sisteminizde doğru şekilde çalışmasını sağlamak için kendi sürümü ile belirli bir paketin üzerine yazılır. Bu, bazı kod paketleri, python sürümleri, vb. Olabilir. LibreOffice PPA gibi diğerler de OpenOffice'in varlığını sisteminizden LibreOffice paketlerini yüklemek için sisteminizden kaldırır. Temel olarak, diğer kullanıcıların belirli bir paket hakkında yorumladıklarını okuyun ve paketin Ubuntu sürümünüzle uyumlu olup olmadığını okuyun.

Aşağıdaki yorum Jeremy Bicha tarafından önerildiği gibi, bazı kanayan kenarlar (PPA'ya Alfa, Beta veya RC kalite yazılımı eklemek de dahil olmak üzere çok güncel olan PPA'lar) tüm sisteminize zarar verebilir (En kötü durumda). Jeremy bir çok kişiden söz eder.

    
verilen cevap Luis Alvarado 17.04.2011 19:57
55

PPA'ları lansmanında geliştirmek için, katılımcı, ubuntu davranış kurallarını imzalamış olmalıdır. Bu, geliştiricinin asgari bir standart setine uyması gerektiğini belirtir.

Genellikle insanlar, belirli ppaları kimin kullandığını ve herhangi bir soruna neden olabileceğini görmek için ubuntuforum'lara başvurmalıdır.

Bir "acemi" veya "noob" için - en iyi tavsiyem, komut satırı, olası hata mesajları ve bazı sorunları nasıl teşhis edeceğiniz hakkında birkaç şey anladığınıza emin olduğunuza kadar, PPA'lardan uzaklaşmaktır.

Ppa'nın sorunlara yol açmasını önlemek için çoğu zaman " ppa_purge " ifadesini kullanabilirsiniz.

Gergin hissediyorsanız, bilgisayarınızın imajını clonezilla gibi bir araçla değerlendirin. Bu şekilde, işler ters giderse ve bunu çözemezseniz, en azından, bilgisayarınızı oynamaya başlamadan önce olduğu gibi geri yüklemek için hızlı bir yol var.

Tüm bunları söyledikten sonra, ppa'lar yazılımın en son sürümlerini almak için son derece kullanışlıdır - özellikle de her 6 ayda bir yükseltme yapmaya ve ubuntu'nun LTS sürümüne bağlı kalmayanlar için.

    
verilen cevap fossfreedom 17.04.2011 19:27
21

Daha önce söylendiği gibi sadece bir malware meselesi değil. Ayrıca, bazı yazılımların hala test aşamasında ve üretim için kullanıma hazır olmayabilir. Eğer onu yüklerseniz ve işin yapılması için ona güvenirseniz, buranın, güvenilmez olduğunu ve kazaya uğradığını fark edebilirsiniz - işinizi yapmadan bırakabilirsiniz.

Bazıları, Ubuntu'nun Unity veya Gnome gibi diğer yönleriyle de iyi anlaşılamayabilir, izlenmesi zor olan ve hatta sisteminizi kararsız hale getiren sorunlara neden olabilir.

Bu, yazılımın kötü olmasından değil, belki de henüz tam olarak test edilmediğinden ya da kullanıcıların test edebilmesi için kullanıma sunulmadığından, ancak genellikle üretim yazılımı olarak piyasaya sürülmesi amaçlanmadığından dolayı değildir. Bu yüzden dikkatli olmalısın, ancak bazıları gerçekten çok iyi.

Birkaç ay önce, belirli bir PPA'dan önerilen bir paket yükledim ve sistemimi Ubuntu'yu yeniden yüklemek zorunda kalmam için yeterince çökerttim. Yeni bir kullanıcıydım ve başka ne yapacağımı bilmiyordum; biraz daha fazla bilgi ile sorunu çözebilir ve bir yeniden yükleme yapmadan geri yükleyebilirdim (yine de, Ubuntu'yu öğrenme konusunda bana yararlı olsa da, eğer makinemde çalışmış olsaydım onu ​​kaybederdim) .

Bu yüzden dikkatli olun, sorular sorun, sık sık yedeklemeler yapın (!!!) ve kötü amaçlı yazılımların olası olmadığını (ancak imkansız olmasa bile) öğrenin.

    
verilen cevap Kelley 01.12.2011 21:52
17

Burada başkaları tarafından listelenen tüm endişelerin anlaşılması son derece önemlidir. Bu açık kaynak olduğundan, UBuntu'daki paketin versiyonundan PPA'nın ne değiştirdiğini tam olarak söyleyebiliriz. PPA'yı bu kopyası olarak kullanacağız. bir örnek.

İlk önce, dget dosyasına bir bağlantı verilen bir Debian kaynak paketinin tüm parçalarını indirecek bir aracı PPA dsc 'sinden alacağız:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Bu bağlantıyı "Paket ayrıntılarını görüntüle" yi tıklayarak buldum:

Ve sonra:

Ardından, paketin kaynağını Ubuntu arşivinde alacağız:

apt-get source unity

Son olarak, iki paketin kaynağı arasındaki farkları görmek için debdiff değerini kullanacağız:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Bu komutun çıktısı yaklaşık üç yüz satırdır, doğrudan yerine bir macun koyacağım . pencereye. Şimdi, C ++ 'yı bilmediğimden beri kodun ne kadar iyi olduğunu kefil edemem, ama iddia ettiği şeyi yapıyor gibi görünüyor ve kötü amaçlı bir şey yok.

    
verilen cevap andrewsomething 05.06.2012 16:14
13

PPA, yükleyebileceğiniz yazılımı içeren bir web klasörüdür. Bundan çok daha karmaşık değil. Bir paket yüklediğinizde, bunu root ayrıcalıklarıyla yaparsınız ve paketin çalıştırıldığı komut dosyaları vardır, bu nedenle bunlar root olarak çalıştırılır. Bu, herhangi bir yazılımın yüklenmesi tehlikelidir ve geliştiriciye veya dağıtıcıya güvenmeniz gerekir.

Uygun bir arşiv, PPA veya başka bir şekilde, yüklediğiniz yazılım güncellemeleri için düzenli olarak sorgulanır. Bununla ilgili "sorun", herkesin yüklediğiniz yeni bir yazılım paketi sağlayabilmesidir. Örneğin, güzel bir tema ve bu temanın otomatik güncellemelerini almak için bir PPA ekleyebilirsiniz. Ancak bu depoyu ekledikten sonra, örneğin yamalanmış bir openssh-server paketi ekleyebilir ve Ubuntu'da bir güncelleme olarak görünecektir. Bu, PPA'yı ekledikten bir yıl sonra yapılabilir, bu nedenle güncellemelere dikkat etmeniz gerekir.

PPA sistemi üçüncü tarafların paketleri kurcalamasını önlemektedir, ancak geliştiriciye / dağıtıcıya güveniyorsanız, PPA'lar çok güvenlidir. Örneğin, Google Chrome'u yüklerseniz, bir PPA ekler. Böylece, otomatik güncellemeleri alırsınız. "Deb İşte kararlı ana" eklediler. Kullandığınız DNS sunucusu, dl.google.com'u başka bir yere yönlendirmek için saldırıya uğradıysa, Chrome'u yüklemiş olan herkese yama yazılımı yükleyebilir. Ancak Ubuntu, Googles'in özel anahtarı ile imzalanamadığı için bunları yüklemeyi reddeder. Bu bakımdan, PPA'lar çok güvenli.

Bir PPA'nın güvenli olduğunu söylemek mümkün değildir. Yazılımı dağıtmak için kullanan kişilere bağlıdır. Özgür yazılımla, insanlar kaynağa bakabilir ve güvenli olup olmadığını görebilir. Bir çok insan Ubuntu düzenli arşivleri gibi bir arşiv kullandığında akran değerlendirmeniz var. Az sayıda kullanıcı içeren küçük arşivler buna sahip değildir, dolayısıyla daha az güvenilirdirler. Ana ders, kullandığınız sistem ne olursa olsun, yazılımı yüklerken dikkatli olmanızdır.

    
verilen cevap Jo-Erlend Schinstad 29.08.2011 20:50
12

Luis Alvarado’nın cevabı üzerine kurulu olarak, bu risklerden haberdar olmalısınız:

  • Kötü amaçlı paketler —Paketler size zarar vermeye çalışabilir. Bu, onlar için yönetici ayrıcalıklarına sahip herhangi bir kodu çalıştırabilecekleri için kolaydır.
  • Kötü kalite veya uyumsuz yazılımlar - Bir uygulama iyi çalışmayabilir. Örneğin, diğer yazılımlarla etkileşime girerek, verilerinizi yok ederek veya gizli bilgileri sızdırıyorsa, yanlışlıkla hasara neden olabilir.

ve şu faktörlere dikkat etmelisiniz:

  • Düzenleyicinin dürüstlüğü - Bakıcının gizlice sana zarar vermeyi deneyebilir misin?
  • Bakıcının güvenliği - Bakıcı üçüncü bir tarafın saldırısına karşı savunmasız mı?
  • Bakıcının güvenilirliği - Bakıcının makul bir zaman dilimi içerisinde güncellemelere olan ihtiyacına cevap vermesi gerekir mi? PPA'yı uzun vadede sürdürmeyi taahhüt ediyorlar mı?
  • Deponun güvenliği - Sorumlu tarafından imzalanan paketlere mi giriliyor?
  • Yazılımın performansı - Yazılımın hatasız ve sisteminizle uyumlu mu?
verilen cevap ændrük 06.11.2013 18:48
8

PPA'lardaki paketler, kötü amaçlı yazılımlar gibi şeyler için kontrol edilmez. Yani birisi sizin için XBMC gibi bir şeyleri ambalajlarken, aynı zamanda bazı casus yazılım / kötü amaçlı yazılımları da kolayca ekleyebilirler. Bu yüzden rastgele PPA eklememelisiniz.

    
verilen cevap tgm4883 01.12.2011 21:16
3

ppa eklediğinizde ve bir program yüklediğinizde.

Temel olarak, bu programın izin verilen yürütülebilir alanda (/ bin / / sbin / / usr / bin /).

yer almasına izin verirsiniz)

Şimdi programın kendisi bir şekilde kötü amaçlı yazılım içeriyorsa, sistem güvenilir olduğunu düşünerek ppa ekleyen siz olduğunuzdan şikayetçi olmaz.

Program Ubuntu depolarından geldiğinde ilk olarak kontrol edilirler (iyice söylemek isterim ama bilmiyorum: P) böylece Ubuntu depolarından gelenler emin bir şekilde kötü amaçlı yazılım / casus yazılımlardan yoksundurlar.

Başka bir ppa için, ona / kullanıcıya güvenip güvenmeyeceğine karar vermek için size / kullanıcıya kadar.

    
verilen cevap wisemonkey 01.12.2011 21:22

Etiketlerdeki diğer soruları oku