Безопасны ли PPA для добавления в мою систему и какие-то & ldquo; красные флаги & rdquo; следить за?

Одна из относительно новых причин использования 64-разрядных: если вы заинтересованы в виртуализации, Docker не работает на 32-битных ядрах (насколько я знаю).

1
задан 20 June 2017 в 12:23

7 ответов

Чтобы разработать PPA на панели запуска, участник должен подписал кодекс поведения ubuntu. Это означает, что разработчик должен соблюдать минимальный набор стандартов.

Обычно люди должны обращаться к ubuntuforums, чтобы узнать, кто использовал определенные ppa, и могут ли они вызывать какие-либо проблемы.

Для «новичков» или «нооб» мой лучший совет - избегать PPA, пока не почувствуете уверенность в том, что вы понимаете несколько вещей о командной строке, возможных сообщениях об ошибках и о некоторых вещах, как диагностировать проблемы.

Чтобы устранить проблемы, вызываемые ppa, вы можете в большинстве случаев использовать « код поведения ubuntu »

Если вы нервничаете, подумайте о резервном копировании образа своего компьютера с помощью инструмента, такого как клонезилла. Таким образом, если все пойдет не так, и вы не можете его решить, по крайней мере у вас есть быстрое средство для восстановления вашего компьютера до того, как это было до начала игры.

Сказав все это, ppa's чрезвычайно полезно для получения последних версий программного обеспечения - особенно для тех, кто не пытается обновляться каждые 6 месяцев и придерживается версии LTS ubuntu.

52
ответ дан 25 May 2018 в 22:03
  • 1
    Мне бы хотелось, чтобы ваш ответ был наверху только для советов начинающим. :( – Braiam 6 September 2013 в 04:42
  • 2
    @fossFreedom: получать автоматические обновления, если я устанавливаю через утилиту ppa или apt-get install – Rajat Gupta 14 September 2013 в 17:32
  • 3
    @ user01 - если человек, создавший PPA, обновляет пакет с новой версией, да - вы автоматически получите обновление, если вы добавили PPA сначала, затем apt-get install package – fossfreedom♦ 14 September 2013 в 17:39
  • 4
    Конечно, злонамеренный пользователь не будет остановлен, чтобы подписать код поведения ... – evilsoup 5 August 2014 в 19:38
  • 5
    Резервные копии не избавят вас от цифровой кражи (например, вредоносная PPA, отправляющая файлы cookie браузера или ключи ssh на родину). Если вы действительно нервничаете, должно быть безопасно устанавливать и запускать PPA внутри виртуальной машины, контейнера или schroot . – joeytwiddle 2 January 2017 в 11:26

Это не просто вопрос вредоносного ПО, как уже было сказано. Кроме того, некоторые из программных продуктов действительно могут быть на стадии тестирования и не готовы к использованию в производстве. Если вы установите его и положитесь на него, чтобы выполнить работу, вы можете обнаружить, что он неисправен, ненадежен и может потерпеть крах - оставив вас без работы, которую вы сделали.

Некоторые из них также могут не получить наряду с другими аспектами Ubuntu, такими как Unity или Gnome, вызывают проблемы, которые трудно отследить, и, возможно, даже сделать вашу систему нестабильной.

Это происходит не потому, что программное обеспечение плохое, а потому, что оно имеет возможно, еще не полностью протестирован или потому, что он был доступен, чтобы люди могли его протестировать, но еще не предназначались для публикации в качестве программного обеспечения для производства. Поэтому вам следует проявлять осторожность, хотя некоторые из них действительно неплохие.

Несколько месяцев назад я установил рекомендуемый пакет из определенного PPA, и он настолько сильно повредил мою систему, что мне пришлось переустановить Ubuntu. Я был новым пользователем и не знал, что еще делать; с немного большим количеством знаний, я мог бы решить проблему и восстановить ее, не переустанавливая (хотя это тоже было полезно для изучения Ubuntu, но если бы я работал на моей машине, я бы ее потерял) .

Так что будьте осторожны, задавайте вопросы, делайте частые резервные копии (!!!) и знайте, что вредоносное ПО маловероятно (хотя и не невозможно).

20
ответ дан 25 May 2018 в 22:03

Все проблемы, перечисленные другими здесь, чрезвычайно важны для понимания. Тем не менее, поскольку это открытый исходный код, мы можем точно сказать, что PPA изменило с версии пакета в Ubuntu. Мы будем использовать PPA из этого дубликата в качестве примера.

Сначала мы возьмем источник из PPA dget инструмента, который будет загружать все части исходного пакета Debian с ссылкой на файл dsc:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Я нашел эту ссылку, нажав «Просмотреть сведения о пакете»:

И затем:

View package details

Затем мы получим источник пакета в архиве Ubuntu:

apt-get source unity

Наконец, мы будем использовать debdiff, чтобы увидеть различия между источником двух пакетов:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Выход этой команды длиной около трех сотен строк, этот дубликат вместо прямого входа в окно , Теперь я не могу ручаться за то, насколько хорош код, так как я действительно не знаю C ++, но, похоже, он делает то, что он утверждает, а не что-то злонамеренное.

15
ответ дан 25 May 2018 в 22:03

PPA - это веб-папка, содержащая программное обеспечение, которое вы можете установить. Это действительно не намного сложнее. Когда вы устанавливаете пакет, вы делаете это с правами root, а в пакете запускаются скрипты, поэтому они запускаются с правами root. Это означает, что установка любого программного обеспечения опасна, и вам нужно доверять разработчику или дистрибьютору.

APT-архив, PPA или иным образом регулярно публикуется для обновлений программного обеспечения, которое вы установили. «Проблема» в том, что каждый может предоставить более новый пакет программного обеспечения, которое вы установили. Например, вы можете добавить PPA, чтобы получить приятную тему и автоматические обновления этой темы. Но как только вы добавили этот репозиторий, владелец может добавить патч-пакет openssh-server, например, и он появится как обновление в Ubuntu. Это можно сделать через год после добавления PPA, поэтому вам нужно обратить внимание на обновления.

Система PPA действительно предотвращает несанкционированное использование сторонних сторон пакетами, поэтому, если вы доверяете разработчику / дистрибьютору, PPA очень безопасны. Например, если вы устанавливаете Google Chrome, то они добавляют PPA, чтобы получать автоматические обновления для него. Они добавляют «deb http://dl.google.com/linux/chrome/deb/ stable main». Если DNS-сервер, который вы используете, был взломан, чтобы указать dl.google.com где-то в другом месте, тогда они могут направить исправленное программное обеспечение всем, кто установил Chrome. Но Ubuntu отказался устанавливать их, поскольку они не могли быть подписаны с закрытым ключом Google. Поэтому в этом отношении PPA очень безопасны.

Невозможно сказать, что PPA безопасен или нет. Это зависит от людей, которые используют его для распространения программного обеспечения. С помощью бесплатного программного обеспечения люди могут посмотреть на источник и посмотреть, безопасно это или нет. Когда многие люди используют архив, например, обычные архивы Ubuntu, у вас есть экспертная оценка. У небольших архивов с несколькими пользователями этого нет, поэтому они менее надежны. Основной урок заключается в том, что независимо от того, какую систему вы используете, вы должны следить за установкой программного обеспечения.

13
ответ дан 25 May 2018 в 22:03

Основываясь на ответе Луиса Альварадо, вы должны знать об этих рисках:

Вредоносные пакеты. Пакеты могут нанести вам вред. Это легко для них, потому что они могут запускать любой код с административными привилегиями. Плохое качество или несовместимое программное обеспечение. Приложение может работать неправильно. Это может случайно нанести ущерб, например, вмешательство в другое программное обеспечение, уничтожение ваших данных или утечку конфиденциальной информации.

, и вы должны быть внимательны к этим факторам:

Вредоносные пакеты-Пакеты могут пытаться причинить вам вред. Это легко для них, потому что они могут запускать любой код с административными привилегиями. Вредоносные пакеты - Помощник, уязвимый для атаки третьей стороной? Плохое качество или несовместимое программное обеспечение. Приложение может работать неправильно. Это может случайно повредить, например, вмешательство в другое программное обеспечение, уничтожение ваших данных или утечку конфиденциальной информации. Плохое качество или несовместимое программное обеспечение -А пакеты, подписанные сопровождающим? Производительность программного обеспечения. Является ли программное обеспечение ошибкой и совместим с вашей системой?
12
ответ дан 25 May 2018 в 22:03

Пакеты на PPA не проверяются на такие вещи, как вредоносное ПО. Поэтому, когда кто-то может упаковать что-то вроде XBMC для вас, они также могут легко добавить и шпионское / вредоносное ПО. Вот почему вы не должны просто добавлять какие-либо случайные PPA.

8
ответ дан 25 May 2018 в 22:03
  • 1
    может у, пожалуйста, скажите, что такое XBMC, я довольно новый ubu – kernel_panic 2 December 2011 в 02:25
  • 2
    XBMC - это программное обеспечение медиацентра. Это хорошее и безопасное программное обеспечение. Он использовал его только в качестве примера, это могло быть любое программное обеспечение. – Anonymous 2 December 2011 в 02:29
  • 3
    что может сделать вредоносное ПО в ubuntu, он должен спросить разрешение на что угодно и все правильно? – kernel_panic 2 December 2011 в 02:30
  • 4
    После того, как вы его установили (то есть, если у вас есть права на копирование своих файлов в системные каталоги и запуск пользовательских сценариев), он может делать все, что пожелает, с помощью системы. Вот почему очень важно устанавливать пакеты из надежных источников. – arrange 2 December 2011 в 02:39
  • 5
    Неправильно. Когда вы устанавливаете часть программного обеспечения, вы делаете это root. Довольно легко принять это разрешение и начать делать плохие вещи. – tgm4883 2 December 2011 в 02:40

Когда вы добавляете ppa и устанавливаете через нее программу.

В основном вы даете разрешение на размещение этой программы в разрешенной области исполняемого файла (/ bin / / sbin / /usr/bin/).[!d1 ]

Теперь, если сама программа имеет / имеет какое-то вредоносное ПО, тогда система не будет жаловаться на нее, так как вы добавили ppa, считая ее заслуживающей доверия.

Когда программа поступает из репозиториев Ubuntu, они (я хотел бы сказать полностью, но я не знаю: P), поэтому у репозиториев Ubuntu нет вредоносных программ / шпионских программ.

Для любых других ppa, которые вы должны решить, доверять ему или нет.

3
ответ дан 25 May 2018 в 22:03
  • 1
    что может сделать вредоносное ПО в ubuntu, он должен спросить разрешение на что угодно и все правильно? – kernel_panic 2 December 2011 в 02:27
  • 2
    Когда вы устанавливаете программное обеспечение, оно запрашивает разрешение root (экран темнеет, и вы вводите свой пароль). На этом этапе он мог бы сделать все : удалить все из вашего окна, установить кейлоггер, изменить фон рабочего стола на hello kitty, anything . – SCdF 2 December 2011 в 02:29
  • 3
    OWH !!!! Большое спасибо!!!!!!!!!!!!!!!!!!!!!!!! – kernel_panic 2 December 2011 в 02:34
  • 4
    @sanjayasanjuubuntu: во время установки он запрашивает разрешение на проживание в исполняемой области, как только он там, он может легко получить доступ к любой информации, не относящейся к делу. Существуют программы, которые нуждаются в su разрешение на выполнение, однако, если в программе есть дополнительный багаж (считывание вредоносного ПО), добавленного при упаковке, он может выполняться без проблем при вводе пароля. – wisemonkey 2 December 2011 в 02:35
  • 5
    Dev PPAs - самый безопасный маршрут, и также необходимо увидеть продолжительность участия в Launchpad. Эти факторы гарантируют безопасную и стабильную систему, использующую PPA для последних программ. Я нашел этот маршрут, чтобы поддерживать LTS в работе с конкретными новыми версиями программ, которые я использую. – Arup Roy Chowdhury 15 October 2015 в 10:30

Другие вопросы по тегам:

Похожие вопросы: