PPA'lar sistemime eklemek güvenli midir ve dikkat edilmesi gereken bazı "kırmızı bayraklar" nedir?


301

Sadece sisteme "PPA" ekleyerek elde edilebilecek pek çok ilginç program görüyorum, ancak eğer doğru anlıyorsam, sistemimize yazılım eklemek için resmi "depolarda" kalmalıyız.

Bir aceminin "PPA" nın güvenli olup olmadığını veya kaçınılması gerektiğini bilmesi için herhangi bir yol var mı? Bir PPA ile uğraşırken kullanıcı neyi bilmeli?



snappyPaketin olup olmadığını da kontrol edebilirsiniz . Güvenlik kuralları ile sınırlı olma eğilimindedirler. Genel sorun aynı olmakla birlikte (yayıncıya güvenmeniz gerekir), bazı anlık görüntülere açıkça izin vermeniz gerekir.
Ken Sharp,

Yanıtlar:


213

PPA ( Kişisel Paket Arşivi ), Ubuntu'nuza, Kubuntu'nuza veya diğer herhangi bir PPA uyumlu dağıtımınıza belirli bir yazılımı dahil etmek için kullanılır. PPA'nın “ güvenliği ” çoğunlukla 3 şeye bağlıdır:

  1. PPA'yı kim yaptı - WPA veya LibreOffice'den ppa gibi resmi bir PPA : libreoffice / ppa ve kendim yarattığım bir PPA aynı değil. Beni bir PPA sorumlusu olarak tanımıyorsunuz, bu yüzden güven sorunu ve güvenliği benim için çok düşük (Bozuk bir paket, uyumsuz paket veya kötü bir şey yapmış olabileceğimden beri), ancak LibreOffice ve PPA için web sitelerinde sundukları , Buna belirli bir güvenlik ağı veriyor. Bu nedenle, PPA'yı kimin yaptığına bağlı olarak, PPA'yı ne kadar süredir yapıp sürdürdüğü, PPA'nın sizin için ne kadar güvenli olduğunu biraz etkileyecektir. Yorumlarda yukarıda belirtilen PPA'lar Canonical tarafından onaylı değildir.

  2. PPA'yı kaç kullanıcı kullanmış - Örneğin, kişisel PPA'mda http://winehq.org adresinden bir PPA var . PPA'mın 6'sı olan, onaylı 10 kullanıcı ile ME’ye güvenir misiniz , resmi şaraphane web sitesinde Scott Ritchie’nin ppa: ubuntu-wine / ppa olarak sunduğundan daha kötü olduğunu söyler. PPA'sını kullanan ve işine güvenen binlerce kullanıcısı (ben dahil) var. Bu, arkasında birkaç yıl kalmış bir iştir.

  3. PPA nasıl güncellenir - Ubuntu 10.04 veya 10.10 kullandığınızı ve THAT özel PPA kullanmak istediğinizi varsayalım. Bu PPA'ya yapılan son güncellemenin 20 yıl önce olduğunu öğrendiniz. Oo BU KUA'yı kullanma şansınız boş. Neden?. Çünkü, PPA'nın ihtiyaç duyduğu paket bağımlılıkları çok eski ve belki de güncellenmiş olanlar, PPA ile çalışmayacakları o kadar çok kod değiştiriyorlar ve eğer bu PPA paketlerinden herhangi birini sisteminize yüklerseniz sisteminizi bozabilirler.

    Bir PPA'nın güncellenmiş olması, eğer bu PPA'yı kullanmak isterse kullanma kararını etkiler. Olmazsa, gidip bugüne kadar başka birini aramayı tercih ederler. En son Ubuntu ile Banshee 0.1 veya Wine 0.0.0.1 veya OpenOffice 0.1 Beta Alpha Omega Thundercat Sürümü istemiyorsunuz. İstediğiniz şey, geçerli Ubuntu'nuza güncellenen bir PPA. Bir PPA'nın, Ubuntu sürümünün ne için yapıldığını veya birden fazla Ubuntu sürümünün yapıldığından bahsettiğini unutmayın.

    Buna bir örnek olarak, Şarap PPA'sında desteklenen sürümlerin bir görüntüsüdür:

    görüntü tanımını buraya girin

    Burada bu PPA'nın Dinozorlardan bu yana desteklendiğini görebilirsiniz.

    Bir PPA'nın ne kadar güncellendiğine dair bir BAD meselesi, eğer PPA'nın sağlayıcısı PPA'ya belirli bir paketin en son, en büyük ve en son versiyonunu itme eğilimindeyse. Bunun alt tarafı, bir şeyin en son testini yapacaksanız, bazı böcekler bulacağınızdır. Hatalı olabileceğinden / içereceğinden, kararlı bir sürüme güncellenen ve dengesiz, test veya dev sürümüne göre güncellenmemiş PPA'lara bağlı kalmaya çalışın. En sonuncuya sahip olma fikri aynı zamanda TEST yapmak ve hangi problemlerin bulunduğunu söylemek ve çözmek için. Buna bir örnek, günlük Xorg PPA'ları ve Günlük Mozilla PPA'larıdır. Günlükleri alırsanız X.org veya Firefox için günlük yaklaşık 3 güncelleme alırsınız. Bu, oradaki çalışmalardan kaynaklanıyor ve günlük PPA'larını kullanıyorsanız, böcek avcılığına veya gelişimine yardım etmek ve bir üretim ortamı için DEĞİL demek istediğiniz anlamına gelir.

Temel olarak bu 3'e sadık kalın, güvende olacaksın. Her zaman PPA'nın yapımcısını / bakımcısını arayın. Her zaman birçok kullanıcının kullanıp kullanmadığını ve her zaman PPA'nın ne kadar güncel olduğunu görün. Gibi yerler OMGUbuntu , Phoronix , Slashdot , H , WebUp8 ve hatta burada Ask Ubuntu birçok kullanıcı ve makaleler bahsediyor ve test ettik bazı PPA'lar tavsiye bulmak için iyi kaynaklardır.

Kararlı PPA Örnekleri - LibreOffice, OpenOffice, Banshee, Şarap, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC, MY deneyimimden iyi ve güvenli PPA'lar.

Yarı Kararlı PPA - X-Swat PPA, orta PPA'da kanama kenarı ile stabil arasındadır.

Kanama Kenarı PPA - Xorg-Edgers, kanama kenarı PPA'sı olmasına rağmen, 12.04'ten sonra, bu PPA'nın daha kararlı hale geldiğini söylemeliyim. Hala kanama kenarı olarak işaretlerdim ama son kullanıcılar için yeterince kararlıdır.

Seçilebilir PPA - El freni burada kullanıcının seçmesi, sabit bir versiyon mu istiyor yoksa kanayan kenar mı istiyorsun (Anlık Görüntü de denir) versiyonu. Bu durumda ne kullanmak istediğinizi seçebilirsiniz.

Örneğin, Xorg-Edgers PPA ile birlikte X-Swat ppa kullanılması durumunda, ikisi arasında bir karışım elde edersiniz (Xorg-Edgers'a öncelik verir). Bunun nedeni, her ikisinin de hemen hemen aynı paketleri eklemeye çalıştığından, birbirlerinin üzerine yazacakları ve depolarında yalnızca en güncel olanların gösterileceğidir (paketi X-Swat'tan manuel olarak almasını söylemediğiniz sürece hariç).

Bazı PPA'lar, depolarınıza eklediğinizde bazı paketlerinizi güncelleyebilir, çünkü PPA yazılımının sisteminizde düzgün çalışmasını sağlamak için kendi sürümleriyle belirli bir paketin üzerine yazacaktır. Bu, bazı kod paketleri, python sürümleri, vb. Olabilir. LibreOffice PPA gibi diğerleri, LibreOffice paketlerini kurmak için tüm OpenOffice varlığını sisteminizden kaldıracaktır. Temel olarak diğer kullanıcıların belirli bir paket hakkında yorumlarını okuyun ve aynı zamanda paketin Ubuntu sürümünüzle uyumlu olup olmadığını da okuyun.

Aşağıdaki yorum Jeremy Bicha tarafından önerildiği gibi, bir miktar kanama kenarı (PPA'ya Alpha, Beta veya RC kalitesinde yazılım ekleme de dahil olmak üzere çok güncel olan PPA'lar) tüm sisteminize zarar verebilir (en kötü durumda). Jeremy bir çoğundan bahseder.


Bu, equinox, temel vb. Gibi temalar elde etmek için yüklemeniz gereken PPA'ların çokluğu için geçerli midir?
abel

2
Evet. Herhangi bir PPA için geçerlidir. Bir KKA'nın, bir programı veya program grubunu, yükseltmelerini sağlamak için zamanlarını alan bir kişi aracılığıyla güncellemenin kolay bir yolu olduğunu unutmayın. Dolayısıyla, birisinin zamanını en son / eski sistemle uyumlu veya güncel olması için ayırdığı bir yer. Fakat bunu yapan bir insan olduğu için yolda yanlışlıklar olabilir.
Luis Alvarado,

14
Bir PPA'nın kaç kullanıcısı olduğunu nasıl keşfeder?
damien

Bir PPA eklemek hacker'lara geçmek için bazı delikler veriyor mu?
mathmaniage

@ mathmaniage Kaynak kodun sistem tarafından yüklenmesi ve kurulması gerekir, bu nedenle kaynak kodunu istediğiniz zaman kontrol edebilirsiniz.
Ken Sharp

56

PPA'ları fırlatma panelinde geliştirmek için, katılımcının ubuntu davranış kurallarını imzalamış olması gerekir . Bu, geliştiricinin minimum standartlara uyması gerektiğini belirtir.

Genelde insanlar, belirli ppaları kimin kullandığını ve herhangi bir soruna neden olup olmadığını görmek için ubuntuforums'a danışmalıdır.

Bir "acemi" veya "noob" için en iyi tavsiyem, komut satırı, olası hata mesajları ve sorunların nasıl teşhis edileceği hakkında birkaç şey anladığınızdan emin oluncaya kadar PPA'lardan uzak durmaktır.

Ppa'nın neden olduğu sorunları gidermek için çoğu zaman " ppa_purge " kullanabilirsiniz.

Gergin hissediyorsanız, bilgisayarınızın clonezilla benzeri bir araçla yedeklenmesini düşünün . Bu şekilde, işler ters giderse ve sorunu çözemezseniz, en azından bilgisayarınızı oynamaya başlamadan önceki haline geri döndürmek için hızlı bir yönteminiz vardır.

Bunları söyledikten sonra, ppa'lar yazılımın en son sürümlerini elde etmek için son derece kullanışlıdır - özellikle her 6 ayda bir yükseltme yapmayı denemeyen ve ubuntu'nun LTS sürümüne uymayanlar için.


1
Acemilere tavsiyede bulunmak için en tepedeki cevabını çok isterim. :(
Braiam

@fossFreedom: ppa veya apt-get installyardımcı program aracılığıyla kurarsam otomatik güncellemeler alır mıyım
Rajat Gupta

1
@ user01 - PPA'yı oluşturan kişi paketi yeni bir sürümle güncellerse, evetapt-get install package
PPA'yı

2
Tabii ki, kötü niyetli bir kullanıcı davranış kurallarını imzalamakla
durmayacak

Yedeklemeler sizi dijital hırsızlıktan kurtarmaz (ör. Tarayıcı çerezlerini veya ssh anahtarlarını eve gönderen kötü niyetli bir PPA). Gerçekten gergin hissediyorsanız, PPA'yı sanal bir makineye, konteynere veya schroot içine kurmak ve çalıştırmak güvenli olmalıdır .
joeytwiddle

21

Daha önce de belirtildiği gibi, sadece bir malware meselesi değil. Ayrıca, bazı yazılımlar gerçekten de test aşamasında olabilir ve üretim için hazır olmayabilir. Yüklüyorsanız ve işi yapmak için ona güvenirseniz, çalışmanın arızalı, güvenilmez ve çökmesine neden olabilirsiniz - yaptığınız işi yapmadan sizi.

Bazıları, Unity veya Gnome gibi Ubuntu'nun diğer yönleriyle de iyi bir şekilde başa çıkamayabilir, izlenmesi zor olan sorunlara neden olabilir ve belki de sisteminizi dengesiz hale getirebilir.

Bunun nedeni, yazılımın kötü olması değil, belki de henüz tam olarak test edilmemiş olması ya da insanların test edebilmesi için kullanıma sunulmuş olması, ancak henüz genel olarak üretim yazılımı olarak piyasaya sürülmeleri amaçlanmamasıdır. Bu yüzden, bazılarını gerçekten iyi olmasına rağmen, dikkatli olmalısınız.

Birkaç ay önce, belirli bir PPA'dan önerilen bir paket yükledim ve sistemime Ubuntu'yu yeniden yüklemek zorunda kalacağımı yetti. Yeni bir kullanıcıydım ve başka ne yapacağımı bilemedim; biraz daha fazla bilgiyle sorunu çözebilir ve yeniden yüklemeden geri yükleyebilirdim (yine de, Ubuntu'yu öğrenmekte benim için faydalı olmama rağmen, ancak makinemde kaydedilmiş çalışmış olsaydım kaybederdim) .

Bu yüzden dikkatli olun, sorular sorun, sık sık yedeklemeler yapın (!!!) ve kötü amaçlı yazılımın olası olmadığını (mümkün olmasa da) bilin.


19

Burada başkaları tarafından listelenen tüm endişeleri anlamak son derece önemlidir. Bununla birlikte, bu açık kaynak olduğu için, PPA'nın Ubuntu'daki paket sürümünden tam olarak ne değiştiğini söyleyebiliriz. Örnek olarak bu kopyadan alınan PPA'yı kullanacağız .

Öncelikle kaynağı PPA'dan dget, dscdosyaya bir link verilen bir Debian kaynak paketinin tüm parçalarını indirecek bir araç alırız :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Bu bağlantıyı "Paket ayrıntılarını görüntüle" yi tıklayarak buldum:

Paket ayrıntılarını görüntüle

Ve sonra:

dsc dosyasını bul

Ardından, Ubuntu arşivindeki paketin kaynağını alacağız:

apt-get source unity

Son olarak, debdiffiki paketin kaynağı arasındaki farkları görmek için kullanacağız :

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Bu komutun çıktısı yaklaşık üç yüz satır uzunluğunda, bu yüzden doğrudan pencerenin yerine pastebin üzerine koyacağım . Şimdi, C ++ kodunu gerçekten bilmediğim için kodun ne kadar iyi olduğu konusunda garanti veremiyorum, ancak iddia ettiği şeyi yapıyor ve kötü amaçlı bir şey yapmıyor gibi görünüyor.


1
+1, ancak pastebin bağlantınız koptu.
Unutulmaz

Bu, bir PPA paketi ile neler yapıldığını kontrol etmenin mükemmel bir örneğidir. Pastebin ile bağlantı tamamen anlamsızdır. +1
Ken Sharp

13

PPA, yükleyebileceğiniz yazılımı içeren bir web klasörüdür. Bundan daha karmaşık değil. Bir paketi yüklediğinizde, bunu kök ayrıcalıklarıyla yaparsınız ve pakette çalıştırılan komut dosyaları vardır, böylece bunlar kök olarak çalıştırılır. Bu, herhangi bir yazılımı yüklemek tehlikeli olduğu anlamına gelir ve geliştiriciye veya distribütöre güvenmeniz gerekir.

Yüklü yazılım güncellemeleri için uygun bir arşiv, PPA veya başka bir şekilde düzenli olarak incelenir. Bununla ilgili "sorun", herkesin yüklediğiniz daha yeni bir yazılım paketi sunmasıdır. Örneğin, güzel bir tema ve bu temanın otomatik güncellemelerini almak için bir PPA ekleyebilirsiniz. Ancak, bu depoyu ekledikten sonra, sahibi, örneğin yamalı bir openssh-server paketi ekleyebilir ve Ubuntu'da bir güncelleme olarak görünecektir. Bu, PPA'yı ekledikten bir yıl sonra yapılabilir, bu nedenle güncellemelere dikkat etmeniz gerekir.

PPA sistemi, üçüncü tarafların paketlere müdahale etmesini önler, ancak geliştiriciye / dağıtıcıya güveniyorsanız, PPA'lar çok güvenlidir. Örneğin, Google Chrome'u yüklerseniz, bunun için otomatik güncellemeler alabilmeniz için bir PPA eklerler. "Deb http://dl.google.com/linux/chrome/deb/ Kararlı ana" eklerler . Kullandığınız DNS sunucusu dl.google.com adresini başka bir yere yönlendirmek için saldırıya uğradıysa, yamalı yazılımı Chrome'u yükleyen herkese zorlayabilirlerdi. Ancak Ubuntu, Googles özel anahtarı ile imzalanamadıklarından kurulum yapmayı reddetti. Yani bu konuda, PPA'lar çok güvenlidir.

Bir PPA'nın güvenli olup olmadığını söylemek mümkün değildir. Yazılım dağıtmak için kullanan kişilere bağlıdır. Özgür yazılım ile, insanlar kaynağa bakabilir ve güvenli olup olmadığını görebilirler. Pek çok kişi bir arşiv kullanıyorsa, Ubuntu normal arşivleri gibi, o zaman meslektaş değerlendirmeniz olur. Çok az kullanıcılı küçük arşivler buna sahip değildir, bu yüzden daha az güvenilirdirler. Ana ders, hangi sistemi kullanırsanız kullanın, yazılımı yüklerken dikkatli olmanız gerektiğidir.


11

Luis Alvarado'nun cevabına dayanarak , şu risklerin farkında olmalısınız:

  • Kötü niyetli paketler - Paketler size zarar vermeye çalışabilir. Bu onlar için kolaydır çünkü herhangi bir kodu yönetici ayrıcalıklarıyla çalıştırabilirler.
  • Kalitesiz veya uyumsuz yazılım - Bir uygulama iyi çalışmayabilir. Örneğin, diğer yazılımlara müdahale ederek, verilerinizi tahrip ederek veya özel bilgilerinizi sızdırarak kazara hasara yol açabilir.

ve bu faktörlere özen göstermelisiniz:

  • Bakıcının dürüstlüğü: - Bakıcı gizlice size zarar vermeye çalışabilir mi?
  • Bakıcının güvenliği - Bakıcı üçüncü bir tarafın saldırısına açık mı?
  • Bakımcının güvenilirliği - Bakımcı makul bir zaman dilimi içinde güncelleme ihtiyacına cevap verecek mi? PPA’yı uzun vadede sürdürmeyi taahhüt ediyorlar mı?
  • Havuzun güvenliği - Bakımcının imzaladığı paketler mi?
  • Yazılımın performansı — Yazılım hatasız ve sisteminizle uyumlu mu?

8

PPA'lardaki paketler malware gibi şeyleri kontrol etmez. Dolayısıyla birisi sizin için XBMC gibi bir şeyi paketlerken, bazı casus yazılım / kötü amaçlı yazılımları da kolayca ekleyebilir. Bu yüzden sadece rastgele PPA eklememelisiniz.


Lütfen tam olarak XMBC'nin ne olduğunu söyleyebilir misiniz, ben oldukça yeni bir ubu duyuyorum
kernel_panic

XBMC bir medya merkezi yazılımıdır. İyi ve güvenli bir yazılımdır. Sadece bir örnek olarak kullandı, herhangi bir yazılım olabilirdi.
Anonim

Bir malware ubuntu'da neler yapabilir, herhangi bir şey için her şeyden izin ister mi?
kernel_panic

Kurduktan sonra (yani, sistem dosyalarını dosyalarına kopyalaması ve özel komut dosyalarını çalıştırması için root izni verilmişse) sistemde istediği her şeyi yapabilir. Bu nedenle paketleri güvenilir kaynaklardan yüklemek önemlidir.
düzenleme

Yanlış. Bir yazılım parçası yüklediğinizde, bunu yaparken kökünüz. Bu izni almak ve kötü şeyler yapmaya başlamak oldukça kolaydır.
tgm4883

3

Ppa ekleyip bunun üzerine bir program yüklediğinizde.

Temel olarak, bu programı izin verilen çalıştırılabilir alanda (/ bin / / sbin / / usr / bin /) bulunmasına izin verirsiniz.

Şimdi eğer programın kendisi bir kötü amaçlı yazılım ise / bir sistem varsa, güvenilirliğini göz önünde bulundurarak ppa ekleyen kişi olduğunuz için sistem bundan şikayet etmez.

Program Ubuntu havuzlarından geldiğinde önce kontrol edilir (iyice söylemek isterim ama bilmiyorum: P) böylece Ubuntu havuzlarındakiler kötü amaçlı yazılım / casus yazılım içermez.

Başka herhangi bir ppa için size güvenip güvenmeyeceğinize karar vermek size / kullanıcıya aittir.


Bir malware ubuntu'da neler yapabilir, herhangi bir şey için her şeyden izin ister mi?
kernel_panic

6
Yazılımı kurduğunuzda root izni isteyecektir (ekran kararır ve şifrenizi girersiniz). Bu noktada yapabileceği bir şey : senin kutusundan her şeyi silmek, bir keylogger yükleyebilir, merhaba pisi, masaüstü arka planı değiştirmek şey .
SCdF

1
@sanjayasanjuubuntu: kurarken çalıştırılabilir alanda kalması için izin ister, oraya vardığında herhangi bir su-dışı bilgiye kolayca erişebilir. Çalıştırmak için su izni gerektiren programlar var, ancak programın kendisi paketlerken ekstra bagaj (kötü amaçlı yazılım oku) eklenmişse, şifrenizi yazdığınızda hiçbir sorunla karşılaşamaz.
wisemonkey

Dev PPA'lar en güvenli yoldur ve katılımcının Launchpad'deki süresini görmesi gerekir. Bu faktörler, en yeni programlar için PPA kullanan güvenli ve istikrarlı bir sistemi garanti eder. LTS'imi kullandığım programların yeni sürümleriyle uzun süre çalışır halde tutmak için bu rotayı buldum.
Arup Roy Chowdhury
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.