Os PPAs são seguros para adicionar ao meu sistema e quais são algumas “bandeiras vermelhas” a serem observadas?

276

Eu vejo muitos programas interessantes por aí que só podem ser obtidos adicionando um "PPA" ao sistema, mas, se estou entendendo corretamente, devemos ficar dentro dos "repositórios" oficiais para adicionar software ao nosso sistema. .

Existe alguma maneira de um novato saber se um "PPA" é seguro ou se deve ser evitado? Quais dicas o usuário deve saber ao lidar com um PPA?

    
por Rob 17.04.2011 / 18:31
fonte

8 respostas

199

O PPA ( Arquivo Pessoal de Pacotes ) é usado para incluir um software específico no seu Ubuntu, Kubuntu ou qualquer outro compatível com PPA distro. A " segurança " de um PPA depende principalmente de 3 coisas:

  1. Quem fez o PPA - Um PPA oficial do WINE ou do LibreOffice como ppa: libreoffice / ppa e um PPA que eu criei não são os mesmos. Você não me conhece como um mantenedor do PPA, então a questão da confiança e segurança é MUITO baixa para mim (já que eu poderia ter feito um pacote corrompido, incompatível ou qualquer outra coisa ruim), mas para o LibreOffice e o PPA eles oferecem em seu site , Isso dá uma certa segurança para isso. Então, dependendo de quem fez o PPA, por quanto tempo ele ou ela fizeram e mantiveram o PPA influenciará um pouco a segurança do PPA para você. Os PPA's mencionados acima nos comentários não são certificados pela Canonical.

  2. Quantos usuários usaram o PPA - Por exemplo, eu tenho um PPA do link no meu PPA pessoal. Você confiaria em mim com 10 usuários que confirmam o uso do meu PPA, tendo 6 deles dizendo que é uma droga do que o que a Scott Ritchie oferece como ppa: ubuntu-wine / ppa no site oficial da winehq. Tem milhares de usuários (inclusive eu) que usam seu PPA e confiam em seu trabalho. Este é um trabalho que tem vários anos de atraso.

  3. Como o PPA está atualizado - Digamos que você esteja usando o Ubuntu 10.04 ou 10.10, e você quer usar esse PPA especial. Você descobre que a última atualização desse PPA foi há 20 anos. As chances que você tem de usar THAT PPA são nulas. Por quê?. Porque as dependências de pacotes que o PPA precisa são muito antigas e talvez as atualizadas alterem tanto código que elas não funcionarão com o PPA e possivelmente quebrarão o seu sistema se você instalar qualquer um dos pacotes desse PPA em seu sistema.

    Como um PPA atualizado influencia a decisão de usá-lo se ele quiser usar o THA PPA. Se não, prefeririam procurar outro mais atualizado. Você não quer o Banshee 0.1 ou o Wine 0.0.0.1 ou o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition com o Ubuntu mais recente. O que você quer é um PPA atualizado para o seu Ubuntu atual. Lembre-se que um PPA menciona para que versão do Ubuntu é feita ou para várias versões do Ubuntu foi feita.

    Como exemplo disso, aqui está uma imagem das versões que são suportadas no Wine PPA:

    Aqui você pode ver que este PPA é suportado desde dinossauros.

    Uma coisa ruim sobre como um PPA é atualizado, se o mantenedor do PPA tende a empurrar para o PPA a versão mais recente, melhor e mais avançada de um pacote específico. O lado negativo disso é que se você estiver indo para testar o mais recente de algo, você vai encontrar alguns bugs. Tente ficar com os PPAs atualizados para uma versão estável e não instável, teste ou versão de desenvolvimento, pois pode conter bugs. A idéia de ter o mais recente também é para o TEST e dizer quais problemas foram encontrados e resolvê-los. Um exemplo disso são os PPAs Xorg diários e os PPAs Daily Mozilla. Você receberá cerca de 3 atualizações diárias para o X.org ou o Firefox, caso obtenha os diários. Isto é por causa do trabalho que você colocou lá e se você está usando seus PPAs diários significa que você quer ajudar na busca ou desenvolvimento de bugs e NÃO em um ambiente de produção.

Basicamente fique com este 3 e você estará seguro. Sempre procure o fabricante / mantenedor do PPA. Sempre veja se muitos usuários já usaram e sempre ver como está atualizado o PPA. Locais como OMGUbuntu , Phoronix , Slashdot , O H , WebUp8 e até mesmo aqui no AskUbuntu são boas fontes para encontrar muitos usuários e artigos falando sobre e recomendando alguns PPAs que eles testamos.

Exemplos estáveis de PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC são bons e seguros PPAs da minha experiência.

PPA semi-estável - X-Swat PPA é um PPA intermediário entre a borda sangrando e estável.

Bleeding Edge PPA - O Xorg-Edgers é um PPA de última geração, embora eu deva mencionar que, após o 12.04, esse PPA se tornou cada vez mais estável. Eu ainda marcaria como borda de sangramento, mas é estável o suficiente para os usuários finais.

PPA selecionável - o Handbrake oferece aqui uma maneira de o usuário escolher, você quer um estábulo versão ou você quer a versão de borda sangrando (também conhecida como Snapshot). Neste caso, você pode selecionar o que você deseja usar.

Observe que, no caso de usar, por exemplo, o X-Swat ppa com o PPA Xorg-Edgers, você obterá uma mistura entre os dois (com prioridade para os Xorg-Edgers). Isto é porque ambos estão tentando incluir quase os mesmos pacotes, então eles irão sobrescrever um ao outro e somente o mais atualizado será mostrado em seus repositórios (exceto se você diz manualmente para pegar o pacote do X-Swat).

Alguns PPAs podem atualizar alguns de seus pacotes quando você os adiciona ao seu repositório porque eles sobrescrevem com sua própria versão um determinado pacote para fazer o software PPA funcionar corretamente em seu sistema. Isso pode ser alguns pacotes de código, versões python, etc. Outros como o LibreOffice PPA irá remover toda a existência do OpenOffice do seu sistema para instalar os pacotes do LibreOffice lá. Basicamente, leia o que outros usuários comentaram sobre um pacote específico e também leia se o pacote é compatível com sua versão do Ubuntu.

Como o comentário abaixo sugere por Jeremy Bicha, algumas melhorias (PPAs que permanecem muito atualizadas, incluindo a adição de software de qualidade Alpha, Beta ou RC no PPA) poderiam danificar todo o seu sistema (no pior dos casos). Jeremy menciona um exemplo de muitos.

    
por Luis Alvarado 17.04.2011 / 19:57
fonte
53

Para desenvolver PPA's no launchpad, o colaborador deve ter assinado o código de conduta do ubuntu . Isso significa que o desenvolvedor deve obedecer a um conjunto mínimo de padrões.

Normalmente, as pessoas devem então consultar os ubuntuforums para ver quem usou determinados ppa's e se eles poderiam causar problemas.

Para um "novato" ou "noob" - meu melhor conselho é ficar longe dos PPAs até que você tenha certeza de que entendeu algumas coisas sobre a linha de comando, possíveis mensagens de erro e algumas coisas sobre como diagnosticar problemas. / p>

Para remover problemas que causam o ppa, você pode, na maior parte do tempo, usar " ppa_purge "

Se você estiver nervoso, considere um backup de imagem do seu computador com uma ferramenta como o clonezilla . Dessa forma, se as coisas derem errado e você não conseguir resolvê-lo, pelo menos você terá um meio rápido para restaurar o computador de volta ao modo como estava antes de começar a tocar.

Tendo dito tudo isso, o ppa é extremamente útil para obter as versões mais recentes do software - especialmente para aqueles que não tentam atualizar a cada 6 meses e ficar com a versão LTS do Ubuntu.

    
por fossfreedom 17.04.2011 / 19:27
fonte
21

Não é apenas uma questão de malware, como já foi dito. É também que parte do software ainda pode estar em fase de testes e não estar pronto para uso em produção. Se você instalá-lo e confiar nele para realizar o trabalho, poderá descobrir que ele é defeituoso, não é confiável e pode travar - deixando você sem o trabalho que você realizou.

Algumas delas também podem não se dar bem com outros aspectos do Ubuntu, como o Unity ou o Gnome, causando problemas que são difíceis de rastrear e talvez até mesmo tornando seu sistema instável.

Isto não é porque o software é ruim, mas porque talvez ainda não tenha sido totalmente testado, ou porque foi disponibilizado para que as pessoas pudessem testá-lo, mas ainda não destinado a ser geralmente lançado como software de produção. Portanto, você deve ter cuidado, embora alguns sejam realmente bons.

Alguns meses atrás eu instalei um pacote recomendado de um PPA em particular, e ele destruiu meu sistema o suficiente para que eu tivesse que reinstalar o Ubuntu. Eu era um novo usuário e não sabia mais o que fazer; com um pouco mais de conhecimento eu poderia ter sido capaz de resolver o problema e restaurá-lo sem fazer uma reinstalação (embora isso também fosse útil para mim no aprendizado do Ubuntu, mas se eu tivesse trabalhado salvo na minha máquina eu teria perdido) .

Portanto, tenha cuidado, faça perguntas, faça backups frequentes (!!!) e saiba que o malware é improvável (embora não impossível).

    
por Kelley 01.12.2011 / 21:52
fonte
16

Todas as preocupações listadas por outras pessoas são extremamente importantes para entender. Dito isto, uma vez que este é open source, podemos dizer exatamente o que o PPA mudou a partir da versão do pacote no Ubuntu. Usaremos o PPA de este duplicado como um exemplo.

Primeiro, vamos pegar o código do PPA dget , uma ferramenta que fará o download de todas as partes de um pacote fonte Debian, com um link para o arquivo dsc :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Encontrei o link clicando em "Visualizar detalhes do pacote":

E então:

Em seguida, obteremos o código fonte do pacote no arquivo Ubuntu:

apt-get source unity

Por fim, usaremos debdiff para ver as diferenças entre a origem dos dois pacotes:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

A saída desse comando tem cerca de trezentas linhas, então vou colocá-lo em um pastebin em vez de diretamente na janela. Agora, eu não posso garantir o quão bom o código é, já que eu realmente não conheço o C ++, mas ele parece estar fazendo o que alega e não é nada malicioso.

    
por andrewsomething 05.06.2012 / 16:14
fonte
13

Um PPA é uma pasta da web que contém o software que você pode instalar. Realmente não é muito mais complicado que isso. Quando você instala um pacote, você faz isso com privilégios de root e o pacote tem scripts que são executados, então eles são executados como root. Isso significa que instalar qualquer software é perigoso e você precisa confiar no desenvolvedor ou distribuidor.

Um arquivo apt, PPA ou outro, é consultado regularmente para atualizações do software que você instalou. O "problema" com isso é que qualquer um pode fornecer um novo pacote de software instalado. Por exemplo, você pode adicionar um PPA para obter um tema interessante e atualizações automáticas desse tema. Mas depois de adicionar esse repositório, o proprietário pode adicionar um pacote openssh-server, por exemplo, e ele aparecerá como uma atualização no Ubuntu. Isso pode ser feito um ano após você ter adicionado o PPA, portanto, você precisa prestar atenção às atualizações.

O sistema de PPA impede que terceiros violem os pacotes, portanto, se você confia no desenvolvedor / distribuidor, os PPAs são muito seguros. Por exemplo, se você instalar o Google Chrome, eles adicionarão um PPA para que você receba atualizações automáticas. Eles adicionam "deb link main estável". Se o servidor DNS que você usou foi hackeado para direcionar o dl.google.com para outro local, ele pode enviar o software com patch para todos que instalaram o Google Chrome. Mas o Ubuntu se recusaria a instalá-los, já que eles não poderiam ser assinados com a chave privada do Google. Então, a esse respeito, os PPAs são muito seguros.

Não é possível dizer que um PPA é seguro ou não. Depende das pessoas que o usam para distribuir software. Com o software livre, as pessoas podem olhar para a fonte e ver se é seguro ou não. Quando muitas pessoas usam um arquivo, como os arquivos regulares do Ubuntu, você faz uma revisão por pares. Arquivos pequenos com poucos usuários não têm isso, então eles são menos confiáveis. A principal lição é que não importa o sistema que você usa, você deve tomar cuidado ao instalar o software.

    
por Jo-Erlend Schinstad 29.08.2011 / 20:50
fonte
12

Com base na resposta de Luis Alvarado , você deve estar ciente desses riscos:

  • Pacotes maliciosos —Pacotes podem tentar prejudicá-lo. Isso é fácil para eles porque podem executar qualquer código com privilégios administrativos.
  • Qualidade insatisfatória ou software incompatível - um aplicativo pode não funcionar bem. Pode causar danos acidentalmente, por exemplo, interferindo em outro software, destruindo seus dados ou vazando informações privadas.

e você deve estar atento a esses fatores:

  • Honestidade do mantenedor - O mantenedor pode secretamente tentar prejudicá-lo?
  • Segurança do mantenedor - o mantenedor está vulnerável a ataques de terceiros?
  • Confiabilidade do mantenedor - o mantenedor responderá à necessidade de atualizações dentro de um prazo razoável? Eles estão comprometidos em manter o PPA a longo prazo?
  • Segurança do repositório —Os pacotes são assinados pelo mantenedor?
  • Desempenho do software - O software é livre de erros e compatível com o seu sistema?
por ændrük 06.11.2013 / 18:48
fonte
8

Os pacotes em PPAs não são verificados quanto a malware. Então, enquanto alguém pode estar empacotando algo como o XBMC para você, eles também poderiam facilmente adicionar alguns spywares / malwares. É por isso que você não deve simplesmente adicionar qualquer PPA aleatório.

    
por tgm4883 01.12.2011 / 21:16
fonte
3

Quando você adiciona o ppa e instala um programa através dele.

Basicamente você dá permissão para residir este programa na área executável permitida (/ bin / / sbin / / usr / bin /).

Agora, se o programa em si é / tem de alguma forma um malware, então o sistema não vai reclamar, pois você é quem adicionou o ppa considerando sua confiabilidade.

Quando o programa vem dos repositórios do Ubuntu eles são checados primeiro (eu gostaria de dizer completamente, mas eu não sei: P) para que os repositórios do Ubuntu sejam livres de malware / spywares, com certeza.

Para qualquer outro ppa, o usuário pode decidir se deve confiar ou não.

    
por wisemonkey 01.12.2011 / 21:22
fonte