Können PPAs sicher zu meinem System hinzugefügt werden, und auf welche „roten Fahnen“ ist zu achten?

301

Ich sehe viele interessante Programme da draußen, die nur durch Hinzufügen eines "PPA" zum System erhalten werden können, aber wenn ich das richtig verstehe, sollten wir in den offiziellen "Repositories" bleiben, um Software zu unserem System hinzuzufügen.

Gibt es eine Möglichkeit für einen Anfänger zu wissen, ob ein "PPA" sicher ist oder ob es vermieden werden sollte? Welche Tipps sollte der Benutzer beim Umgang mit einem PPA kennen?

security ppa repository rauben
quelle
2
Siehe auch: askubuntu.com/questions/7662/…
Mechanische Schnecke
Sie können auch prüfen, ob ein snappyPaket verfügbar ist. Sie sind in der Regel durch Sicherheitsregeln begrenzt. Sie müssen bestimmten Snaps explizit bestimmte Berechtigungen erteilen, obwohl das allgemeine Problem dasselbe ist (Sie müssen dem Herausgeber vertrauen).
Ken Sharp

Antworten:

213

PPA ( Personal Package Archive ) wird verwendet, um eine bestimmte Software für Ubuntu, Kubuntu oder jede andere PPA-kompatible Distribution bereitzustellen. Die " Sicherheit " einer PPA hängt hauptsächlich von drei Faktoren ab :

  1. Wer hat das PPA erstellt - Ein offizielles PPA von WINE oder LibreOffice wie ppa: libreoffice / ppa und ein PPA, das ich selbst erstellt habe, sind nicht dasselbe. Sie kennen mich nicht als PPA-Betreuer, daher ist das Vertrauensproblem und die Sicherheit für mich SEHR niedrig (da ich ein beschädigtes Paket, ein inkompatibles Paket oder etwas anderes schlechtes hätte machen können), aber für LibreOffice und das PPA, das sie auf ihrer Website anbieten , DAS gibt ihm ein gewisses Sicherheitsnetz. Je nachdem, wer die PPA erstellt hat, wie lange er oder sie die PPA erstellt und gewartet hat, wird dies einen kleinen Einfluss darauf haben, wie sicher die PPA für Sie ist. PPAs, wie oben in den Kommentaren erwähnt, sind nicht von Canonical zertifiziert.

  2. Wie viele Benutzer haben die PPA verwendet? Zum Beispiel habe ich eine PPA von http://winehq.org in meiner persönlichen PPA. Würden Sie ME 10 Benutzern vertrauen, die bestätigen, dass sie meinen PPA verwenden, von denen 6 sagen, dass er scheiße ist als der, den Scott Ritchie auf der offiziellen winehq-Website als ppa: ubuntu-wine / ppa anbietet? Es hat Tausende von Benutzern (einschließlich mir), die seine PPA verwenden und seiner Arbeit vertrauen. Dies ist eine Arbeit, die mehrere Jahre hinter sich hat.

  3. Wie die PPA aktualisiert wurde - Nehmen wir an, Sie verwenden Ubuntu 10.04 oder 10.10 und möchten DIESE spezielle PPA verwenden. Sie stellen fest, dass das letzte Update für diese PPA vor 20 Jahren durchgeführt wurde. Oo Die Chancen, dass Sie diese PPA verwenden, sind null. Warum?. Da die von PPA benötigten Paketabhängigkeiten sehr alt sind und die aktualisierten möglicherweise so viel Code ändern, dass sie nicht mit der PPA funktionieren und möglicherweise Ihr System beschädigen, wenn Sie eines der Pakete dieser PPA auf Ihrem System installieren.

    Wie eine PPA aktualisiert wird, beeinflusst die Entscheidung, sie zu verwenden, wenn diese PPA verwendet werden soll. Wenn nicht, würden sie lieber nach einem neuen suchen, der auf dem neuesten Stand ist. Sie möchten nicht Banshee 0.1 oder Wine 0.0.0.1 oder OpenOffice 0.1 Beta Alpha Omega Thundercat Edition mit dem neuesten Ubuntu. Was Sie wollen, ist eine PPA, die auf Ihr aktuelles Ubuntu aktualisiert wird. Denken Sie daran, dass ein PPA angibt, für welche Ubuntu-Version oder für welche Ubuntu-Versionen mehrere Versionen erstellt wurden.

    Ein Beispiel dafür ist hier ein Bild der Versionen, die in der Wine PPA unterstützt werden:

    Bildbeschreibung hier eingeben

    Hier sehen Sie, dass dieses PPA seit Dinosaurs unterstützt wird.

    Ein SCHLECHTES daran, wie aktuell ein PPA ist, wenn der PPA-Betreuer dazu neigt, die neueste, beste und modernste Version eines bestimmten Pakets in das PPA zu integrieren. Die Kehrseite davon ist, dass, wenn Sie das Neueste von etwas testen, Sie einige Fehler finden werden. Versuchen Sie, sich an PPAs zu halten, die auf eine stabile Version und nicht auf eine instabile, testende oder dev-Version aktualisiert wurden, da sie möglicherweise / werden Fehler enthalten. Die Idee, das Neueste zu haben, ist auch, TESTEN und zu sagen, welche Probleme gefunden wurden und sie zu lösen. Ein Beispiel hierfür sind die täglichen Xorg-PPAs und die täglichen Mozilla-PPAs. Sie erhalten ungefähr 3 tägliche Updates für X.org oder Firefox, wenn Sie die Tageszeitungen erhalten. Dies liegt an der Arbeit, die dort geleistet wird, und wenn Sie die täglichen PPAs verwenden, bedeutet dies, dass Sie bei der Fehlersuche oder -entwicklung helfen möchten und NICHT für eine Produktionsumgebung.

Grundsätzlich bleiben Sie bei dieser 3 und Sie werden sicher sein. Suchen Sie immer nach dem Hersteller / Betreuer der PPA. Sehen Sie immer, ob viele Benutzer es verwendet haben, und sehen Sie immer, wie aktuell die PPA ist. Orte wie OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 und sogar hier in AskUbuntu sind gute Quellen, um viele Benutzer und Artikel zu finden, die über einige getestete PPAs sprechen und diese empfehlen.

Stabile PPA-Beispiele - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb und VLC sind nach MEINER Erfahrung gute und sichere PPAs.

Semi Stable PPA - X-Swat PPA ist eine PPA in der Mitte zwischen Blutungsrand und Stall.

Bleeding Edge PPA - Xorg-Edgers ist ein Bleeding Edge PPA, obwohl ich erwähnen sollte, dass dieses PPA nach 12.04 immer stabiler geworden ist. Ich würde es immer noch als blutige Kante markieren, aber es ist stabil genug für Endbenutzer.

Auswählbare PPA - Handbremse bietet dem Benutzer hier eine Möglichkeit zu wählen, ob Sie eine stabile Version oder die (auch als Snapshot bezeichnete) Version mit dem neuesten Stand der Technik wünschen. In diesem Fall können Sie auswählen, was Sie verwenden möchten.

Beachten Sie, dass Sie bei der Verwendung von X-Swat ppa mit dem Xorg-Edgers PPA eine Mischung aus beiden erhalten (mit Priorität gegenüber Xorg-Edgers). Dies liegt daran, dass beide versuchen, fast dieselben Pakete einzuschließen, sodass sie sich gegenseitig überschreiben und nur das aktuellste in Ihren Repositorys angezeigt wird (es sei denn, Sie weisen es manuell an, das Paket von X-Swat abzurufen).

Einige PPAs aktualisieren möglicherweise einige Ihrer Pakete, wenn Sie sie zu Ihrem Repository hinzufügen, da sie ein bestimmtes Paket mit ihrer eigenen Version überschreiben, damit die PPA-Software auf Ihrem System ordnungsgemäß funktioniert. Dies können einige Codepakete, Python-Versionen usw. sein. Andere wie die LibreOffice-PPA entfernen alle vorhandenen OpenOffice-Pakete von Ihrem System, um die LibreOffice-Pakete dort zu installieren. Grundsätzlich lesen Sie, was andere Benutzer zu einem bestimmten Paket gesagt haben und ob das Paket mit Ihrer Ubuntu-Version kompatibel ist.

Wie der nachstehende Kommentar von Jeremy Bicha andeutet, können hochaktuelle PPAs (einschließlich des Hinzufügens von Software in Alpha, Beta oder RC-Qualität in der PPA) möglicherweise Ihr gesamtes System beschädigen (im schlimmsten Fall). Jeremy nennt ein Beispiel von vielen.

Luis Alvarado
quelle
Trifft dies auf die Vielzahl von PPAs zu, die Sie installieren müssen, um Themen wie Äquinoktikum, Elementar usw. zu erhalten?
Abel
2
Ja. Es gilt für alle PPA. Denken Sie daran, dass ein PPA nur eine einfache Möglichkeit ist, ein Programm oder eine Gruppe von Programmen über jemanden zu aktualisieren, der sich die Zeit nimmt, um sie aktualisieren zu lassen. Es ist also ein Ort, an dem jemand seine Zeit dafür einsetzt, dass etwas aktualisiert wird oder mit dem neuesten / älteren System kompatibel ist. Aber da es ein Mensch ist, der es tut, kann es auf dem Weg zu Fehlern kommen.
Luis Alvarado
14
Wie erfährt man, wie viele Benutzer eine PPA hat?
Damien
Gibt das Hinzufügen eines PPA Hackern einige Löcher, durch die sie gehen können?
Mathmaniage
@mathmaniage Der Quellcode muss vom System hochgeladen und erstellt werden, damit er jederzeit überprüft werden kann.
Ken Sharp
56

Um PPAs auf dem Launchpad zu entwickeln, muss der Mitwirkende den Ubuntu-Verhaltenskodex unterschrieben haben . Dies bedeutet, dass der Entwickler bestimmte Mindeststandards einhalten muss.

Normalerweise sollten die Leute dann das Ubuntuforum konsultieren, um herauszufinden, wer bestimmte PPAs verwendet hat und ob sie Probleme verursachen könnten.

Für einen "Anfänger" oder "Anfänger" - mein bester Rat ist, sich von PPAs fernzuhalten, bis Sie sicher sind, dass Sie ein paar Dinge über die Befehlszeile, mögliche Fehlermeldungen und ein paar Dinge zur Problemdiagnose verstehen.

Um die verursachenden Probleme von ppa zu beheben , können Sie meistens " ppa_purge " verwenden.

Wenn Sie sich nervös fühlen, sollten Sie eine Imagesicherung Ihres Computers mit einem Tool wie Clonezilla in Betracht ziehen . Auf diese Weise haben Sie, falls etwas schief geht und Sie es nicht lösen können, ein schnelles Mittel, um Ihren Computer wieder in den Zustand zu versetzen, in dem er war, bevor Sie mit dem Spielen begonnen haben.

Trotzdem sind PPAs äußerst nützlich, um die neuesten Softwareversionen zu erhalten - insbesondere für diejenigen, die nicht alle 6 Monate ein Upgrade durchführen und sich an die LTS-Version von Ubuntu halten möchten.

fossfreedom
quelle
1
Ich würde mich über Ihre Antwort ganz oben freuen, nur um Anfängern zu raten. :(
Braiam
@fossFreedom: Erhalte ich automatische Updates, wenn ich über ppa oder ein apt-get installHilfsprogramm installiere
Rajat Gupta
1
@ user01 - wenn die Person, die den PPA erstellt hat, das Paket mit einer neuen Version aktualisiert, ja - erhalten Sie das Update automatisch, wenn Sie zuerst den PPA hinzugefügt habenapt-get install package
fossfreedom
2
Natürlich wird ein böswilliger Benutzer nicht davon
abgehalten, den
Backups schützen Sie nicht vor digitalem Diebstahl (z. B. ein böswilliger PPA, der Ihre Browser-Cookies oder SSH-Schlüssel nach Hause sendet). Wenn Sie wirklich nervös sind, sollte es sicher sein, die PPA in einer virtuellen Maschine, einem Container oder einer Root zu installieren und auszuführen .
Joeytwiddle
21

Es geht nicht nur um Malware, wie bereits gesagt wurde. Es ist auch möglich, dass sich ein Teil der Software noch im Teststadium befindet und nicht für die Produktion bereit ist. Wenn Sie es installieren und sich darauf verlassen, dass die Arbeit erledigt wird, stellen Sie möglicherweise fest, dass es fehlerhaft und unzuverlässig ist und abstürzen kann.

Einige davon vertragen sich möglicherweise auch nicht gut mit anderen Aspekten von Ubuntu, wie Unity oder Gnome, was zu Problemen führt, die schwer nachzuvollziehen sind, und möglicherweise sogar dazu, dass Ihr System instabil wird.

Dies liegt nicht daran, dass die Software fehlerhaft ist, sondern daran, dass sie möglicherweise noch nicht vollständig getestet wurde oder dass sie zur Verfügung gestellt wurde, damit die Benutzer sie testen können, sie jedoch noch nicht generell als Produktionssoftware freigegeben werden soll. Sie sollten also Vorsicht walten lassen, obwohl einige davon wirklich ziemlich gut sind.

Vor einigen Monaten habe ich ein empfohlenes Paket von einem bestimmten PPA installiert und es hat mein System so stark zerstört, dass ich Ubuntu neu installieren musste. Ich war ein neuer Benutzer und wusste nicht, was ich sonst tun sollte. Mit etwas mehr Wissen hätte ich das Problem möglicherweise lösen und wiederherstellen können, ohne eine Neuinstallation durchführen zu müssen. .

Seien Sie also vorsichtig, stellen Sie Fragen, erstellen Sie häufige Backups (!!!) und wissen Sie, dass Malware unwahrscheinlich (aber nicht unmöglich) ist.

Kelley
quelle
19

Alle Bedenken, die hier von anderen aufgelistet werden, sind äußerst wichtig zu verstehen. Das heißt, da dies Open Source ist, können wir genau sagen, was die PPA gegenüber der Version des Pakets in Ubuntu geändert hat. Wir werden die PPA aus diesem Duplikat als Beispiel verwenden.

Zuerst holen wir uns die Quelle aus dem PPA, dgeteinem Tool, das alle Teile eines Debian-Quellpakets mit einem Link zu der dscDatei herunterlädt :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ich habe diesen Link gefunden, indem ich auf "Paketdetails anzeigen" geklickt habe:

Paketdetails anzeigen

Und dann:

Suchen Sie die DSC-Datei

Als nächstes erhalten wir die Quelle des Pakets im Ubuntu-Archiv:

apt-get source unity

Abschließend werden wir debdiffdie Unterschiede zwischen den Quellen der beiden Pakete untersuchen:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Die Ausgabe dieses Befehls ist ungefähr dreihundert Zeilen lang, also lege ich sie in einen Pastebin anstatt direkt in das Fenster. Jetzt kann ich nicht garantieren, wie gut der Code ist, da ich C ++ nicht wirklich kenne, aber es scheint zu tun, was es behauptet, und nichts Bösartiges.

undetwas
quelle
1
+1, aber dein Pastebin-Link ist kaputt.
Unvergesslich
Dies ist ein hervorragendes Beispiel dafür, wie Sie überprüfen können, was mit einem PPA-Paket geschehen ist. Der Link zum Pastebin ist völlig irrelevant. +1
Ken Sharp
13

Ein PPA ist ein Webordner, der Software enthält, die Sie installieren können. Es ist wirklich nicht viel komplizierter. Wenn Sie ein Paket installieren, tun Sie dies mit Root-Rechten, und das Paket enthält Skripts, die ausgeführt werden, sodass sie als Root ausgeführt werden. Das bedeutet, dass die Installation von Software gefährlich ist und Sie dem Entwickler oder Distributor vertrauen müssen.

Ein Apt-Archiv, PPA oder anderes, wird regelmäßig nach Updates für die von Ihnen installierte Software abgefragt. Das "Problem" dabei ist, dass jeder ein neueres Softwarepaket bereitstellen kann, das Sie installiert haben. Beispielsweise können Sie eine PPA hinzufügen, um ein ansprechendes Thema und automatische Updates dieses Themas zu erhalten. Sobald Sie dieses Repository hinzugefügt haben, kann der Eigentümer beispielsweise ein gepatchtes openssh-server-Paket hinzufügen, das in Ubuntu als Update angezeigt wird. Dies kann ein Jahr nach dem Hinzufügen des PPA erfolgen, daher müssen Sie auf Aktualisierungen achten.

Das PPA-System verhindert jedoch, dass Dritte die Pakete manipulieren. Wenn Sie also dem Entwickler / Distributor vertrauen, sind PPAs sehr sicher. Wenn Sie beispielsweise Google Chrome installieren, wird eine PPA hinzugefügt, sodass Sie automatische Updates erhalten. Sie fügen "deb http://dl.google.com/linux/chrome/deb/ stable main" hinzu. Wenn der von Ihnen verwendete DNS-Server gehackt wurde, um auf dl.google.com zu verweisen, könnten sie gepatchte Software auf alle Personen übertragen, die Chrome installiert haben. Ubuntu würde sich jedoch weigern, sie zu installieren, da sie nicht mit dem privaten Schlüssel von Googles signiert werden konnten. In dieser Hinsicht sind PPAs sehr sicher.

Es ist nicht möglich zu sagen, dass ein PPA sicher ist oder nicht. Es hängt von den Leuten ab, die es verwenden, um Software zu verbreiten. Mit kostenloser Software können die Benutzer die Quelle einsehen und feststellen, ob sie sicher ist oder nicht. Wenn viele Leute ein Archiv verwenden, wie zum Beispiel normale Ubuntu-Archive, haben Sie Peer-Review. Kleine Archive mit wenigen Benutzern haben das nicht, deshalb sind sie weniger vertrauenswürdig. Die wichtigste Lektion ist, dass Sie bei der Installation von Software aufpassen sollten, egal welches System Sie verwenden.

Jo-Erlend Schinstad
quelle
11

Aufbauend auf Luis Alvarados Antwort sollten Sie sich der folgenden Risiken bewusst sein:

  • Schädliche Pakete - Pakete könnten versuchen, Ihnen Schaden zuzufügen. Dies ist für sie einfach, da sie jeden Code mit Administratorrechten ausführen können.
  • Schlechte Qualität oder inkompatible Software - Eine Anwendung funktioniert möglicherweise nicht richtig. Dies kann versehentlich zu Schäden führen, beispielsweise durch Eingriffe in andere Software, durch Zerstörung Ihrer Daten oder durch Verlust privater Informationen.

und Sie sollten auf diese Faktoren achten:

  • Ehrlichkeit des Betreuers - Könnte der Betreuer heimlich versuchen, Ihnen Schaden zuzufügen?
  • Sicherheit des Betreuers - Ist der Betreuer anfällig für Angriffe durch Dritte?
  • Zuverlässigkeit des Betreuers - Wird der Betreuer innerhalb eines angemessenen Zeitrahmens auf die Notwendigkeit von Aktualisierungen reagieren? Sind sie verpflichtet, die PPA langfristig aufrechtzuerhalten?
  • Sicherheit des Repository - Sind Pakete vom Betreuer signiert?
  • Leistung der Software - Ist die Software fehlerfrei und mit Ihrem System kompatibel?
ændrük
quelle
8

Die Pakete auf PPAs werden nicht auf Malware überprüft. Während also jemand etwas wie XBMC für Sie verpackt, kann er sehr leicht auch Spyware / Malware hinzufügen. Aus diesem Grund sollten Sie keine zufälligen PPA hinzufügen.

tgm4883
quelle
u können Sie sagen , was genau XMBC ist, ich bin ganz neue ubu
kernel_panic
XBMC ist eine Media Center-Software. Es ist gute und sichere Software. Er benutzte es nur als Beispiel, es könnte jede Software sein.
Anonym
Was kann eine Malware in Ubuntu tun? Sie sollte um Erlaubnis für alles und jedes fragen.
kernel_panic
Sobald Sie es installiert haben (dh ihm die Root-Berechtigung erteilt haben, seine Dateien in Systemverzeichnisse zu kopieren und benutzerdefinierte Skripte auszuführen), kann es mit dem System alles tun, was es möchte. Aus diesem Grund ist es wichtig, Pakete aus vertrauenswürdigen Quellen zu installieren.
Ordnen Sie den
Falsch. Wenn Sie eine Software installieren, sind Sie dabei root. Es ist ziemlich einfach, diese Erlaubnis zu nehmen und schlechte Dinge zu tun.
tgm4883
3

Wenn Sie ppa hinzufügen und ein Programm installieren.

Grundsätzlich erteilen Sie die Erlaubnis, dieses Programm im zulässigen ausführbaren Bereich (/ bin / / sbin / / usr / bin /) abzulegen.

Wenn das Programm selbst eine Malware ist / hat, wird sich das System nicht darüber beschweren, da Sie derjenige sind, der ppa hinzugefügt hat, da es vertrauenswürdig ist.

Wenn ein Programm aus den Ubuntu-Repositorys stammt, wird es zuerst überprüft (ich möchte es ausführlich sagen, aber ich weiß nicht: P), sodass die Programme aus den Ubuntu-Repositorys mit Sicherheit frei von Malware / Spyware sind.

Für jeden anderen ppa liegt es an Ihnen / Benutzer, zu entscheiden, ob Sie ihm vertrauen oder nicht.

wisemonkey
quelle
Was kann eine Malware in Ubuntu tun? Sie sollte um Erlaubnis für alles und jedes fragen.
kernel_panic
6
Wenn Sie die Software installieren, werden Sie nach der Root-Berechtigung gefragt (der Bildschirm wird dunkler und Sie geben Ihr Passwort ein). Zu diesem Zeitpunkt könnte es alles Mögliche tun : alles von Ihrer Box löschen, einen Keylogger installieren, den Desktop-Hintergrund in Hello Kitty ändern, alles Mögliche .
SCdF
1
@sanjayasanjuubuntu: Während der Installation werden Sie um die Erlaubnis gebeten, sich in einem ausführbaren Bereich zu befinden. Sobald er dort ist, kann er problemlos auf alle nicht-su-Informationen zugreifen. Es gibt Programme, für deren Ausführung eine su-Berechtigung erforderlich ist. Wenn dem Programm jedoch beim Packen zusätzliches Gepäck (Malware lesen) hinzugefügt wurde, kann es ohne Probleme ausgeführt werden, wenn Sie Ihr Kennwort eingeben.
wisemonkey
Entwickler-PPAs sind die sicherste Route und müssen auch die Dauer des Mitwirkenden auf Launchpad anzeigen. Diese Faktoren gewährleisten ein sicheres und stabiles System, das PPAs für die neuesten Programme verwendet. Ich habe diesen Weg gefunden, um mein LTS mit den speziellen neuen Versionen von Programmen, die ich verwende, lange am Laufen zu halten.
Arup Roy Chowdhury