Безопасны ли PPA для добавления в мою систему, и каковы некоторые & ldquo; красные флаги & ldquo; остерегаться?
Я вижу много интересных программ, которые можно получить, только добавив «PPA» в систему, но, если я правильно понимаю, мы должны оставаться в официальных «репозиториях» для добавления программного обеспечения в нашу систему. ,
Может ли новичок узнать, безопасен ли «PPA» или его следует избегать? Какие советы должен знать пользователь при работе с PPA?
8 ответов
PPA (Персональный архив пакетов ) используются для включения конкретного программного обеспечения в Ubuntu, Kubuntu или любой другой PPA совместимый дистрибутив. Безопасность "safe" PPA в основном зависит от 3-х вещей:
Кто создал PPA - официальный PPA из WINE или LibreOffice типа ppa:libreoffice/ppa и PPA, который я создал сам - это не одно и то же. Вы не знаете меня как сопровождающего PPA, поэтому вопрос доверия и безопасности для меня ОЧЕНЬ низок (так как я мог бы сделать поврежденный пакет, несовместимый пакет или что-то еще плохое), но для LibreOffice и PPA, которые они предлагают на своем сайте, это дает ему определенную сеть безопасности. Таким образом, в зависимости от того, кто создал PPA, как долго он или она создавал и поддерживал PPA, это немного повлияет на то, насколько безопасен PPA для вас. РПУ, как упоминалось выше в комментариях, не сертифицированы Canonical.
Сколько пользователей использовали РПУ - Например, у меня есть РПУ с http://winehq.org в моем личном РПУ. Вы бы доверили ME с 10 пользователями, которые подтверждают использование моего PPA, имея 6 из них, которые говорят, что это хреново, чем тот, который Скотт Ричи предлагает как ppa:ubuntu-wine/ppa на официальном сайте winehq. У него есть тысячи пользователей (включая меня), которые используют его PPA и доверяют его работе. За этой работой стоят несколько лет.
Насколько обновлен PPA - Допустим, вы используете Ubuntu 10.04 или 10.10, и хотите использовать этот специальный PPA. Вы узнаете, что последнее обновление этого PPA было 20 лет назад... O.O. Шансы, которые у Вас есть на использование ТОГО PPA, равны нулю. Почему? Потому что зависимости от пакетов, которые нужны PPA, очень старые, и, возможно, обновленные изменят так много кода, что они не будут работать с PPA и, возможно, сломают вашу систему, если вы установите любой из пакетов этого PPA в вашу систему.
Как обновленный PPA влияет на решение использовать его, если он хочет использовать ТАЙТ PPA. Если нет, то они предпочтут поискать еще один обновленный PPA. Вы не хотите Banshee 0.1 или Wine 0.0.0.1 или OpenOffice 0.1 Beta Alpha Omega Thundercat Edition с последней Ubuntu. То, что вы хотите, это PPA, который обновляется до вашего текущего Ubuntu. Помните, что в PPA упоминается, для чего сделана версия Ubuntu, или для чего сделано несколько версий Ubuntu.
В качестве примера здесь приведен образ версий, которые поддерживаются в Wine PPA:
Здесь видно, что этот PPA поддерживается со времен Динозавров.
Одна BAD вещь о том, как обновляется PPA, если мейнтейнер PPA склонен проталкивать в PPA самую последнюю, самую большую и самую современную версию определенного пакета. Недостатком является то, что если вы собираетесь тестировать последнюю версию чего-то, то вы обнаружите некоторые ошибки. Попробуйте придерживаться PPA, которые обновляются до стабильной версии, а не до нестабильной, тестируемой или разрабатываемой версии, так как она может/будет содержать ошибки. Идея иметь последнюю версию также заключается в том, чтобы протестировать и сказать, какие проблемы были найдены, и решить их. Примером этого являются ежедневные Xorg PPA и Daily Mozilla PPA. Вы получите около 3 ежедневных обновлений для X.org или Firefox, если вы получите ежедневники. Это из-за работы, которую вы туда положили, и если вы используете их ежедневные PPA, это означает, что вы хотите помочь с охотой за ошибками или разработкой, а не для производственной среды.
В основном придерживайтесь этой 3-х и вы будете в безопасности. Всегда ищите производителя/хозяина PPA. Всегда проверяйте, много ли пользователей использовали его, и всегда проверяйте, насколько обновлен PPA. Такие места как OMGUbuntu, Phoronix, Slashdot, H, WebUp8 и даже здесь, в AskUbuntu, являются хорошими источниками, чтобы найти много пользователей и статей, говорящих и рекомендующих некоторые PPA, которые они протестировали.
Стабильные PPA Примеры - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC являются хорошими и безопасными PPA из MY опыта.
Полустабильный PPA - X-Swat PPA находится в середине PPA между кровоточащим краем и стабильным.
Кровоточащий край PPA - Xorg-Edgers является кровоточащим краем PPA, хотя я должен упомянуть, что после 12.04, этот PPA стал все более и более стабильным. Я бы все равно пометил ее как кровоточащую кромку, но она достаточно стабильна для конечных пользователей.
Selectable PPA - Handbrake предлагает здесь способ, который пользователь может выбрать: стабильную версию или кровоточащую кромку (также называемую Snapshot) версию. В этом случае вы можете выбрать, что вы хотите использовать.
Обратите внимание, что в случае использования, например, X-Swat ppa с Xorg-Edgers PPA, вы получите смешанную версию (с приоритетом на Xorg-Edgers). Это происходит потому, что оба пытаются включить почти одни и те же пакеты, поэтому они перезаписывают друг друга, и только самый обновленный пакет будет показан в ваших репозиториях (За исключением случаев, когда вы вручную скажете ему забрать пакет из X-Swat).
Некоторые PPA могут обновить некоторые из ваших пакетов, когда вы добавляете их в репозиторий, потому что они перезапишут своей собственной версией определенный пакет, чтобы заставить программное обеспечение PPA корректно работать на вашей системе. Это могут быть некоторые пакеты с кодом, версии питона и т.д... Другие, такие как LibreOffice PPA, удалят все существование OpenOffice из вашей системы, чтобы установить туда пакеты LibreOffice. В основном прочитайте, что другие пользователи комментировали о конкретном пакете, а также прочитайте, совместим ли этот пакет с вашей Ubuntu-версией.
Как предлагает Джереми Бича (Jeremy Bicha) в комментариях ниже, некоторые недостатки (PPA, которые остаются очень актуальными, включая добавление в PPA качественного программного обеспечения Alpha, Beta или RC) могут потенциально повредить всю вашу систему (в худшем случае). Джереми упоминает пример многих.
Как уже было сказано, дело не только в вредоносном ПО. Кроме того, некоторые программы могут действительно все еще находиться на стадии тестирования и не готовы к использованию в производственной среде. Если вы установите его и полагаетесь на него для выполнения работы, вы можете обнаружить, что он глючит, ненадежен и может дать сбой, оставив вас без работы, которую вы проделали.
Некоторые из них могут также не ладить с другими аспекты Ubuntu, такие как Unity или Gnome, которые вызывают проблемы, которые трудно отследить, и, возможно, даже делают вашу систему нестабильной.
Это не потому, что программное обеспечение плохое, а потому, что оно, возможно, еще не было полностью протестировано или потому что оно было доступно, чтобы люди могли его протестировать, но еще не предназначено для общего выпуска в качестве производственного программного обеспечения. Так что вам следует проявлять осторожность, хотя некоторые из них действительно хороши.
Несколько месяцев назад я установил рекомендуемый пакет из определенного PPA, и он настолько разрушил мою систему, что мне пришлось переустановить Ubuntu. Я был новым пользователем и не знал, что еще делать; обладая немного большими знаниями, я мог бы решить проблему и восстановить ее, не выполняя переустановку (хотя это тоже было полезно для меня при изучении Ubuntu, но если бы я работал с сохранением на своей машине, я бы его потерял) .
Так что будьте осторожны, задавайте вопросы, делайте частые резервные копии (!!!) и знайте, что наличие вредоносных программ маловероятно (хотя и возможно).
Для разработки PPA на пусковой площадке разработчик должен был подписать код поведения ubuntu. Это означает, что разработчик должен соблюдать минимальный набор стандартов.
Обычно люди должны обращаться в ubuntuforums, чтобы узнать, кто пользовался определенными PPA и могут ли они вызвать какие-либо проблемы.
Для "новичка" или "ноба" - мой лучший совет - держаться подальше от PPA до тех пор, пока вы не почувствуете себя уверенным в том, что понимаете некоторые вещи из командной строки, потенциальные сообщения об ошибках и несколько вещей о том, как диагностировать проблемы.
Для удаления вызывающих ppa проблем вы можете большую часть времени использовать "ppa_purge"
Если вы нервничаете, то рассмотрите возможность создания резервной копии образа вашего компьютера с помощью такого инструмента, как clonezilla. Таким образом, если что-то пойдет не так, и Вы не сможете это разрешить, по крайней мере, у Вас есть быстрый способ восстановить компьютер так, как он был до того, как Вы начали играть.
Сказав все это, ppa's чрезвычайно полезны для получения последних версий программного обеспечения - особенно для тех, кто не пытается обновлять каждые 6 месяцев и придерживается LTS версии ubuntu.
PPA - это веб-папка, содержащая программное обеспечение, которое вы можете установить. На самом деле это не намного сложнее. Когда вы устанавливаете пакет, вы делаете это с привилегиями root, и в пакете есть сценарии, которые выполняются, так что они выполняются от имени root. Это означает, что установка любого программного обеспечения опасна, и вы должны доверять разработчику или дистрибьютору.
Архив apt, PPA или другой, регулярно опрашивается на предмет обновлений установленных вами программ. Проблема" в том, что любой может предоставить более новый пакет программного обеспечения, который вы установили. Например, вы можете добавить PPA, чтобы получить хорошую тему и автоматические обновления этой темы. Но как только вы добавите этот репозиторий, владелец может добавить исправленный пакет openssh-server, например, и он появится как обновление в Ubuntu. Это можно сделать через год после добавления PPA, поэтому вам нужно обращать внимание на обновления. Однако, система PPA не позволяет третьим лицам вмешиваться в работу с пакетами, поэтому, если вы доверяете разработчику/дистрибьютору, то PPA очень безопасны. Например, если вы устанавливаете Google Chrome, то они добавляют PPA, так что вы будете получать автоматические обновления для него. Они добавляют "deb http://dl.google.com/linux/chrome/deb/ stable main". Если DNS-сервер, который вы используете, был взломан, чтобы направить dl.google.com куда-нибудь еще, то они могут насадить исправления на всех, кто установил Chrome. Но Ubuntu отказалась бы их устанавливать, так как они не могут быть подписаны с помощью закрытого ключа Googles. Так что в этом отношении PPA очень безопасны.
Нельзя сказать, что PPA безопасна или нет. Это зависит от людей, которые используют ее для распространения программного обеспечения. Со свободными программами люди могут смотреть на исходный текст и видеть, безопасен он или нет. Когда многие люди используют архивы, такие как обычные архивы Ubuntu, то у вас есть коллегиальная оценка. Небольшие архивы с небольшим количеством пользователей не имеют этого, поэтому они менее надежны. Главный урок заключается в том, что независимо от того, какую систему вы используете, вы должны позаботиться об установке программного обеспечения.
Когда вы добавляете ppa и устанавливаете через него программу.
В основном вы даете разрешение на размещение этой программы в разрешенной исполняемой области (/ bin / / sbin / / usr / bin /).
Теперь, если сама программа каким-то образом является вредоносной, тогда система не будет на это жаловаться, поскольку вы тот, кто добавил ppa, считая его заслуживающим доверия.
Когда программа приходит из репозиториев Ubuntu, они сначала проверяются (я бы хотел бы сказать подробно, но я не знаю: P) так что в репозиториях Ubuntu точно нет вредоносных / шпионских программ.
Для любого другого ppa вам / пользователю решать, доверять ему или нет.
Все проблемы, перечисленные здесь другими, чрезвычайно важны для понимания. Тем не менее, поскольку это открытый исходный код, мы можем точно сказать, что PPA изменилось по сравнению с версией пакета в Ubuntu. Мы будем использовать PPA из этого дубликата в качестве примера.
Сначала мы возьмем исходный код из PPA dget инструмента, который загрузит все части Debian исходному пакету дана ссылка на файл dsc :
dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc
Я нашел эту ссылку, нажав «Просмотреть сведения о пакете»:
А затем:
Затем мы получим исходный код пакет в архиве Ubuntu:
apt-get source unity
Наконец, мы воспользуемся debdiff , чтобы увидеть различия между исходными кодами двух пакетов:
debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc
Вывод этой команды составляет около трехсот строк, , поэтому я помещу его в pastebin , а не прямо в окно. Я не могу поручиться за качество кода, поскольку я действительно не знаю C ++, но, похоже, он делает то, что утверждает, а не что-то злонамеренное.
Raha miorina amin'ny ny valintenin'i Luis Alvarado , dia tokony ho fantatrao ireto loza mety hitranga ireto:
- fonosana manimba —Ny fonosana mety hanandrana hanisy ratsy anao. Mora ho azy ireo izany satria afaka mihazakazaka kaody misy tombon-dahiny amin'ny fitantanan-draharaha.
- Rindrambaiko tsy dia misy kalitao na tsy mifanaraka —Mety tsy mandeha tsara ny fampiharana iray. Mety hiteraka fahavoazana tsy nahy, ohatra, ny fanelingelenana ireo rindrambaiko hafa, fanimbana ny angon-drakitrao, na famoahana mombamomba anao manokana.
ary tokony ho mailo ianao amin'ireto lafin-javatra ireto: manandrana manisy ratsy anao?
Пакеты в PPA не проверяются на наличие вредоносных программ. Таким образом, хотя кто-то может упаковывать для вас что-то вроде XBMC, они также могут очень легко добавить шпионское / вредоносное ПО. Вот почему вам не следует просто добавлять случайные PPA.