Установка программного обеспечения через .deb - есть ли реальные риски?
Я совершенно новый пользователь ОС Ubuntu, поэтому сначала изучу некоторые общие основы.
Одна из первых вещей - установка браузера Chrome, заставила меня уже запутаться. Я нашел большую тему об этом ( Как установить Google Chrome ), и рядом с ответом, предлагающим загрузить файл .deb непосредственно из Google, я прочитал два таких комментария:
1 - «Если вы устанавливаете вещи Windows, вы получаете вирусы "
2 - (ответ на первый)" Правильно, пользователи должны быть очень осторожны при установке программного обеспечения таким образом и делать это только в исключительных случаях. "
[ 115] Можете ли вы объяснить, почему установка программного обеспечения таким образом так опасна в соответствии с этими двумя комментариями? Так ли это на самом деле? Если да, то как я могу сделать это более безопасным?Обновление
: благодаря @guiverc, теперь для меня ясно, какие технические проблемы могут возникнуть при использовании .deb для установки программного обеспечения. Но чтобы полностью ответить на мой вопрос, я также хотел бы знать, что насчет этих «вирусов». Для меня очевидно, что установка .deb из ненадежных источников может привести к такого рода рискам, но следует ли мне беспокоиться об этом также при установке из известных источников (например, в данном случае Google)? Если да, то почему?
Я немного параноик, когда речь заходит о вопросах безопасности, поэтому я бы хотел полностью понять и этот аспект.
1 ответ
Canonical ( сотрудники компании за Ubuntu «основной» репо. ) и amp; Члены / люди / сообщество Ubuntu протестировали все в репозиториях для конкретной версии Ubuntu, для которой они доступны.
Если вы загружаете .deb из другого места, любая проверка & amp; выполняемое на нем тестирование может иметь меньший стандарт, чем тот, который требуется для включения в репозитории Ubuntu. Одним из быстрых отличий может быть только проверка правильности правил упаковки (например, они могут использовать стандарты Debian; хорошо для Debian, но могут создавать проблемы с Ubuntu или другим дистрибутивом), ожидаемые ABI / API были протестированы / непроверены кем бы то ни было. разработано / упаковано & amp; может работать с определенными библиотеками (выпусками Qt или GTK +), так что опять же это то, что @SergiyKolodyazhnyy охватил в выражении 'trust', чтобы убедиться, что оно соответствует вашей системе. Неправильно упакованная установка может создать проблемы, которые проявляются в другом правильно упакованном программном обеспечении, т.е. Вы должны убедиться, что это подходит.
Быстрый пример использования правил упаковки - apt & amp; инструменты упаковки deb (dpkg и т. д.) будут обновлены по версии; поэтому плохо упакованная версия может использовать другой стандарт. например. кодер берет код версии 2.2.2, делает несколько изменений и помечает его как 2.3, чтобы заменить файлы 2.2.2. Следующая версия будет помечена как 2.2.3, но она не заменит чью-либо версию 2.3, как 2.3 < 2.2.2. Это [тупой] простой пример проблем, связанных с упаковкой, поскольку группы следуют стандартам, которые имеют для них смысл, из которых есть из чего выбирать, и не все «хорошо» играют с другими. Однако более серьезными проблемами являются изменения API / ABI, которые скрыты внутри пакетов (, а не мой простой пример именования / управления версиями )
Более крупные компании с технически подкованными людьми склонны быть немного более осведомленными ( т. е. делать домашнее задание), однако их боссы обычно все еще следят за часами (т. е. $ s), поэтому не хотят упаковывать версию debian, версию ubuntu, версию mint и т. д., поэтому создайте такую, которая, по их мнению, не создаст вопросы по любому. С пакетами с открытым исходным кодом вы можете sudo apt source просматривать & amp; проверьте исходный код самостоятельно, если не доверяете процессу проверки, используемому программным обеспечением Canonical или Ubuntu. Для источников PPA или сторонних поставщиков этот обзор не требуется, но по крайней мере исходный код все еще доступен, то есть вы можете сделать это самостоятельно (, обратите внимание: некоторые PPA действительно пересмотрели код ). У вас еще меньше шансов на просмотр, если предоставляются только двоичные файлы (.deb); с большим доверием.
Для автономных программ, таких как браузер (ваш вопрос о Chrome), его взаимодействие с системой минимально & amp; в основном просто например. сохраните загруженные файлы, так что вероятность возникновения проблем в другом месте может быть несколько снижена по сравнению с возможным расширением gnome (которое в случае сбоя приводит к выходу пользователя из системы при сбое gnome-shell), но каждый неофициальный пакет требует это его собственная оценка «рисков» (какой выпуск инструментария GTK + или Qt он ожидает; вы работаете и т. д.).
Если вы используете репозитории Ubuntu - вся эта «домашняя работа» была сделана для вас, чтобы система оставалась максимально стабильной и соответствовала другим протестированным пакетам репозитория.