Können PPAs sicher zu meinem System hinzugefügt werden, und auf welche „roten Fahnen“ ist zu achten?

Ich sehe viele interessante Programme da draußen, die nur durch Hinzufügen eines "PPA" zum System erhalten werden können, aber wenn ich das richtig verstehe, sollten wir in den offiziellen "Repositories" bleiben, um Software zu unserem System hinzuzufügen.

Gibt es eine Möglichkeit für einen Anfänger zu wissen, ob ein "PPA" sicher ist oder ob es vermieden werden sollte? Welche Tipps sollte der Benutzer beim Umgang mit einem PPA kennen?

PPA ( Personal Package Archive ) wird verwendet, um eine bestimmte Software für Ubuntu, Kubuntu oder jede andere PPA-kompatible Distribution bereitzustellen. Die " Sicherheit " einer PPA hängt hauptsächlich von drei Faktoren ab :

1. Wer hat das PPA erstellt - Ein offizielles PPA von WINE oder LibreOffice wie ppa: libreoffice / ppa und ein PPA, das ich selbst erstellt habe, sind nicht dasselbe. Sie kennen mich nicht als PPA-Betreuer, daher ist das Vertrauensproblem und die Sicherheit für mich SEHR niedrig (da ich ein beschädigtes Paket, ein inkompatibles Paket oder etwas anderes schlechtes hätte machen können), aber für LibreOffice und das PPA, das sie auf ihrer Website anbieten , DAS gibt ihm ein gewisses Sicherheitsnetz. Je nachdem, wer die PPA erstellt hat, wie lange er oder sie die PPA erstellt und gewartet hat, wird dies einen kleinen Einfluss darauf haben, wie sicher die PPA für Sie ist. PPAs, wie oben in den Kommentaren erwähnt, sind nicht von Canonical zertifiziert.

2. Wie viele Benutzer haben die PPA verwendet? Zum Beispiel habe ich eine PPA von http://winehq.org in meiner persönlichen PPA. Würden Sie ME 10 Benutzern vertrauen, die bestätigen, dass sie meinen PPA verwenden, von denen 6 sagen, dass er scheiße ist als der, den Scott Ritchie auf der offiziellen winehq-Website als ppa: ubuntu-wine / ppa anbietet? Es hat Tausende von Benutzern (einschließlich mir), die seine PPA verwenden und seiner Arbeit vertrauen. Dies ist eine Arbeit, die mehrere Jahre hinter sich hat.

3. Wie die PPA aktualisiert wurde - Nehmen wir an, Sie verwenden Ubuntu 10.04 oder 10.10 und möchten DIESE spezielle PPA verwenden. Sie stellen fest, dass das letzte Update für diese PPA vor 20 Jahren durchgeführt wurde. Oo Die Chancen, dass Sie diese PPA verwenden, sind null. Warum?. Da die von PPA benötigten Paketabhängigkeiten sehr alt sind und die aktualisierten möglicherweise so viel Code ändern, dass sie nicht mit der PPA funktionieren und möglicherweise Ihr System beschädigen, wenn Sie eines der Pakete dieser PPA auf Ihrem System installieren.

   Wie eine PPA aktualisiert wird, beeinflusst die Entscheidung, sie zu verwenden, wenn diese PPA verwendet werden soll. Wenn nicht, würden sie lieber nach einem neuen suchen, der auf dem neuesten Stand ist. Sie möchten nicht Banshee 0.1 oder Wine 0.0.0.1 oder OpenOffice 0.1 Beta Alpha Omega Thundercat Edition mit dem neuesten Ubuntu. Was Sie wollen, ist eine PPA, die auf Ihr aktuelles Ubuntu aktualisiert wird. Denken Sie daran, dass ein PPA angibt, für welche Ubuntu-Version oder für welche Ubuntu-Versionen mehrere Versionen erstellt wurden.

   Ein Beispiel dafür ist hier ein Bild der Versionen, die in der Wine PPA unterstützt werden:

   

   Hier sehen Sie, dass dieses PPA seit Dinosaurs unterstützt wird.

   Ein SCHLECHTES daran, wie aktuell ein PPA ist, wenn der PPA-Betreuer dazu neigt, die neueste, beste und modernste Version eines bestimmten Pakets in das PPA zu integrieren. Die Kehrseite davon ist, dass, wenn Sie das Neueste von etwas testen, Sie einige Fehler finden werden. Versuchen Sie, sich an PPAs zu halten, die auf eine stabile Version und nicht auf eine instabile, testende oder dev-Version aktualisiert wurden, da sie möglicherweise / werden Fehler enthalten. Die Idee, das Neueste zu haben, ist auch, TESTEN und zu sagen, welche Probleme gefunden wurden und sie zu lösen. Ein Beispiel hierfür sind die täglichen Xorg-PPAs und die täglichen Mozilla-PPAs. Sie erhalten ungefähr 3 tägliche Updates für X.org oder Firefox, wenn Sie die Tageszeitungen erhalten. Dies liegt an der Arbeit, die dort geleistet wird, und wenn Sie die täglichen PPAs verwenden, bedeutet dies, dass Sie bei der Fehlersuche oder -entwicklung helfen möchten und NICHT für eine Produktionsumgebung.

Grundsätzlich bleiben Sie bei dieser 3 und Sie werden sicher sein. Suchen Sie immer nach dem Hersteller / Betreuer der PPA. Sehen Sie immer, ob viele Benutzer es verwendet haben, und sehen Sie immer, wie aktuell die PPA ist. Orte wie OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 und sogar hier in AskUbuntu sind gute Quellen, um viele Benutzer und Artikel zu finden, die über einige getestete PPAs sprechen und diese empfehlen.

Stabile PPA-Beispiele - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb und VLC sind nach MEINER Erfahrung gute und sichere PPAs.

Semi Stable PPA - X-Swat PPA ist eine PPA in der Mitte zwischen Blutungsrand und Stall.

Bleeding Edge PPA - Xorg-Edgers ist ein Bleeding Edge PPA, obwohl ich erwähnen sollte, dass dieses PPA nach 12.04 immer stabiler geworden ist. Ich würde es immer noch als blutige Kante markieren, aber es ist stabil genug für Endbenutzer.

Auswählbare PPA - Handbremse bietet dem Benutzer hier eine Möglichkeit zu wählen, ob Sie eine stabile Version oder die (auch als Snapshot bezeichnete) Version mit dem neuesten Stand der Technik wünschen. In diesem Fall können Sie auswählen, was Sie verwenden möchten.

Beachten Sie, dass Sie bei der Verwendung von X-Swat ppa mit dem Xorg-Edgers PPA eine Mischung aus beiden erhalten (mit Priorität gegenüber Xorg-Edgers). Dies liegt daran, dass beide versuchen, fast dieselben Pakete einzuschließen, sodass sie sich gegenseitig überschreiben und nur das aktuellste in Ihren Repositorys angezeigt wird (es sei denn, Sie weisen es manuell an, das Paket von X-Swat abzurufen).

Einige PPAs aktualisieren möglicherweise einige Ihrer Pakete, wenn Sie sie zu Ihrem Repository hinzufügen, da sie ein bestimmtes Paket mit ihrer eigenen Version überschreiben, damit die PPA-Software auf Ihrem System ordnungsgemäß funktioniert. Dies können einige Codepakete, Python-Versionen usw. sein. Andere wie die LibreOffice-PPA entfernen alle vorhandenen OpenOffice-Pakete von Ihrem System, um die LibreOffice-Pakete dort zu installieren. Grundsätzlich lesen Sie, was andere Benutzer zu einem bestimmten Paket gesagt haben und ob das Paket mit Ihrer Ubuntu-Version kompatibel ist.

Wie der nachstehende Kommentar von Jeremy Bicha andeutet, können hochaktuelle PPAs (einschließlich des Hinzufügens von Software in Alpha, Beta oder RC-Qualität in der PPA) möglicherweise Ihr gesamtes System beschädigen (im schlimmsten Fall). Jeremy nennt ein Beispiel von vielen.

Um PPAs auf dem Launchpad zu entwickeln, muss der Mitwirkende den Ubuntu-Verhaltenskodex unterschrieben haben . Dies bedeutet, dass der Entwickler bestimmte Mindeststandards einhalten muss.

Normalerweise sollten die Leute dann das Ubuntuforum konsultieren, um herauszufinden, wer bestimmte PPAs verwendet hat und ob sie Probleme verursachen könnten.

Für einen "Anfänger" oder "Anfänger" - mein bester Rat ist, sich von PPAs fernzuhalten, bis Sie sicher sind, dass Sie ein paar Dinge über die Befehlszeile, mögliche Fehlermeldungen und ein paar Dinge zur Problemdiagnose verstehen.

Um die verursachenden Probleme von ppa zu beheben , können Sie meistens " ppa_purge " verwenden.

Wenn Sie sich nervös fühlen, sollten Sie eine Imagesicherung Ihres Computers mit einem Tool wie Clonezilla in Betracht ziehen . Auf diese Weise haben Sie, falls etwas schief geht und Sie es nicht lösen können, ein schnelles Mittel, um Ihren Computer wieder in den Zustand zu versetzen, in dem er war, bevor Sie mit dem Spielen begonnen haben.

Trotzdem sind PPAs äußerst nützlich, um die neuesten Softwareversionen zu erhalten - insbesondere für diejenigen, die nicht alle 6 Monate ein Upgrade durchführen und sich an die LTS-Version von Ubuntu halten möchten.

Es geht nicht nur um Malware, wie bereits gesagt wurde. Es ist auch möglich, dass sich ein Teil der Software noch im Teststadium befindet und nicht für die Produktion bereit ist. Wenn Sie es installieren und sich darauf verlassen, dass die Arbeit erledigt wird, stellen Sie möglicherweise fest, dass es fehlerhaft und unzuverlässig ist und abstürzen kann.

Einige davon vertragen sich möglicherweise auch nicht gut mit anderen Aspekten von Ubuntu, wie Unity oder Gnome, was zu Problemen führt, die schwer nachzuvollziehen sind, und möglicherweise sogar dazu, dass Ihr System instabil wird.

Dies liegt nicht daran, dass die Software fehlerhaft ist, sondern daran, dass sie möglicherweise noch nicht vollständig getestet wurde oder dass sie zur Verfügung gestellt wurde, damit die Benutzer sie testen können, sie jedoch noch nicht generell als Produktionssoftware freigegeben werden soll. Sie sollten also Vorsicht walten lassen, obwohl einige davon wirklich ziemlich gut sind.

Vor einigen Monaten habe ich ein empfohlenes Paket von einem bestimmten PPA installiert und es hat mein System so stark zerstört, dass ich Ubuntu neu installieren musste. Ich war ein neuer Benutzer und wusste nicht, was ich sonst tun sollte. Mit etwas mehr Wissen hätte ich das Problem möglicherweise lösen und wiederherstellen können, ohne eine Neuinstallation durchführen zu müssen. .

Seien Sie also vorsichtig, stellen Sie Fragen, erstellen Sie häufige Backups (!!!) und wissen Sie, dass Malware unwahrscheinlich (aber nicht unmöglich) ist.

Alle Bedenken, die hier von anderen aufgelistet werden, sind äußerst wichtig zu verstehen. Das heißt, da dies Open Source ist, können wir genau sagen, was die PPA gegenüber der Version des Pakets in Ubuntu geändert hat. Wir werden die PPA aus diesem Duplikat als Beispiel verwenden.

Zuerst holen wir uns die Quelle aus dem PPA, dgeteinem Tool, das alle Teile eines Debian-Quellpakets mit einem Link zu der dscDatei herunterlädt :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ich habe diesen Link gefunden, indem ich auf "Paketdetails anzeigen" geklickt habe:

Und dann:

Als nächstes erhalten wir die Quelle des Pakets im Ubuntu-Archiv:

apt-get source unity

Abschließend werden wir debdiffdie Unterschiede zwischen den Quellen der beiden Pakete untersuchen:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Die Ausgabe dieses Befehls ist ungefähr dreihundert Zeilen lang, also lege ich sie in einen Pastebin anstatt direkt in das Fenster. Jetzt kann ich nicht garantieren, wie gut der Code ist, da ich C ++ nicht wirklich kenne, aber es scheint zu tun, was es behauptet, und nichts Bösartiges.

Ein PPA ist ein Webordner, der Software enthält, die Sie installieren können. Es ist wirklich nicht viel komplizierter. Wenn Sie ein Paket installieren, tun Sie dies mit Root-Rechten, und das Paket enthält Skripts, die ausgeführt werden, sodass sie als Root ausgeführt werden. Das bedeutet, dass die Installation von Software gefährlich ist und Sie dem Entwickler oder Distributor vertrauen müssen.

Ein Apt-Archiv, PPA oder anderes, wird regelmäßig nach Updates für die von Ihnen installierte Software abgefragt. Das "Problem" dabei ist, dass jeder ein neueres Softwarepaket bereitstellen kann, das Sie installiert haben. Beispielsweise können Sie eine PPA hinzufügen, um ein ansprechendes Thema und automatische Updates dieses Themas zu erhalten. Sobald Sie dieses Repository hinzugefügt haben, kann der Eigentümer beispielsweise ein gepatchtes openssh-server-Paket hinzufügen, das in Ubuntu als Update angezeigt wird. Dies kann ein Jahr nach dem Hinzufügen des PPA erfolgen, daher müssen Sie auf Aktualisierungen achten.

Das PPA-System verhindert jedoch, dass Dritte die Pakete manipulieren. Wenn Sie also dem Entwickler / Distributor vertrauen, sind PPAs sehr sicher. Wenn Sie beispielsweise Google Chrome installieren, wird eine PPA hinzugefügt, sodass Sie automatische Updates erhalten. Sie fügen "deb http://dl.google.com/linux/chrome/deb/ stable main" hinzu. Wenn der von Ihnen verwendete DNS-Server gehackt wurde, um auf dl.google.com zu verweisen, könnten sie gepatchte Software auf alle Personen übertragen, die Chrome installiert haben. Ubuntu würde sich jedoch weigern, sie zu installieren, da sie nicht mit dem privaten Schlüssel von Googles signiert werden konnten. In dieser Hinsicht sind PPAs sehr sicher.

Es ist nicht möglich zu sagen, dass ein PPA sicher ist oder nicht. Es hängt von den Leuten ab, die es verwenden, um Software zu verbreiten. Mit kostenloser Software können die Benutzer die Quelle einsehen und feststellen, ob sie sicher ist oder nicht. Wenn viele Leute ein Archiv verwenden, wie zum Beispiel normale Ubuntu-Archive, haben Sie Peer-Review. Kleine Archive mit wenigen Benutzern haben das nicht, deshalb sind sie weniger vertrauenswürdig. Die wichtigste Lektion ist, dass Sie bei der Installation von Software aufpassen sollten, egal welches System Sie verwenden.

Aufbauend auf Luis Alvarados Antwort sollten Sie sich der folgenden Risiken bewusst sein:

• Schädliche Pakete - Pakete könnten versuchen, Ihnen Schaden zuzufügen. Dies ist für sie einfach, da sie jeden Code mit Administratorrechten ausführen können.
• Schlechte Qualität oder inkompatible Software - Eine Anwendung funktioniert möglicherweise nicht richtig. Dies kann versehentlich zu Schäden führen, beispielsweise durch Eingriffe in andere Software, durch Zerstörung Ihrer Daten oder durch Verlust privater Informationen.

und Sie sollten auf diese Faktoren achten:

• Ehrlichkeit des Betreuers - Könnte der Betreuer heimlich versuchen, Ihnen Schaden zuzufügen?
• Sicherheit des Betreuers - Ist der Betreuer anfällig für Angriffe durch Dritte?
• Zuverlässigkeit des Betreuers - Wird der Betreuer innerhalb eines angemessenen Zeitrahmens auf die Notwendigkeit von Aktualisierungen reagieren? Sind sie verpflichtet, die PPA langfristig aufrechtzuerhalten?
• Sicherheit des Repository - Sind Pakete vom Betreuer signiert?
• Leistung der Software - Ist die Software fehlerfrei und mit Ihrem System kompatibel?

Die Pakete auf PPAs werden nicht auf Malware überprüft. Während also jemand etwas wie XBMC für Sie verpackt, kann er sehr leicht auch Spyware / Malware hinzufügen. Aus diesem Grund sollten Sie keine zufälligen PPA hinzufügen.

Wenn Sie ppa hinzufügen und ein Programm installieren.

Grundsätzlich erteilen Sie die Erlaubnis, dieses Programm im zulässigen ausführbaren Bereich (/ bin / / sbin / / usr / bin /) abzulegen.

Wenn das Programm selbst eine Malware ist / hat, wird sich das System nicht darüber beschweren, da Sie derjenige sind, der ppa hinzugefügt hat, da es vertrauenswürdig ist.

Wenn ein Programm aus den Ubuntu-Repositorys stammt, wird es zuerst überprüft (ich möchte es ausführlich sagen, aber ich weiß nicht: P), sodass die Programme aus den Ubuntu-Repositorys mit Sicherheit frei von Malware / Spyware sind.

Für jeden anderen ppa liegt es an Ihnen / Benutzer, zu entscheiden, ob Sie ihm vertrauen oder nicht.