Câu hỏi PPA có an toàn để thêm vào hệ thống của tôi và một số “lá cờ đỏ” để xem ra không?


Tôi thấy rất nhiều chương trình thú vị ngoài kia chỉ có thể có được bằng cách thêm "PPA" vào hệ thống, nhưng nếu tôi hiểu chính xác, chúng ta nên ở trong "kho lưu trữ" chính thức để thêm phần mềm vào hệ thống của chúng tôi.

Có cách nào cho một người mới để biết nếu một "PPA" là an toàn hoặc nếu nó nên tránh? Những lời khuyên nào người dùng nên biết khi đối phó với PPA ?.


283
2018-04-17 16:31


gốc


Xem thêm: askubuntu.com/questions/7662/… - Mechanical snail
Bạn có thể kiểm tra xem có snappy gói có sẵn quá. Chúng có xu hướng bị giới hạn bởi các quy tắc bảo mật. Bạn phải cấp quyền rõ ràng cho một số quyền hạn nhất định, mặc dù vấn đề chung là như nhau (bạn cần tin tưởng nhà xuất bản). - Ken Sharp


Các câu trả lời:


PPA (Lưu trữ gói cá nhân) được sử dụng để bao gồm một phần mềm cụ thể cho Ubuntu, Kubuntu của bạn hoặc bất kỳ bản phân phối tương thích PPA nào khác. Các "sự an toàn"của một PPA phụ thuộc chủ yếu vào 3 điều:

  1. Ai đã thực hiện PPA - PPA chính thức từ WINE hoặc LibreOffice như ppa: libreoffice / ppa và một PPA mà tôi tạo ra bản thân mình là không giống nhau. Bạn không biết tôi là người bảo trì PPA, vì vậy vấn đề tin cậy và an toàn là rất thấp đối với tôi (Vì tôi có thể tạo gói bị hỏng, gói không tương thích hoặc bất kỳ thứ gì xấu), nhưng đối với LibreOffice và PPA họ cung cấp trên trang web của họ , R givesNG cho một mạng lưới an toàn nhất định với nó. Vì vậy, tùy thuộc vào những người thực hiện PPA, bao lâu anh ta hoặc cô ấy đã được thực hiện và duy trì PPA sẽ ảnh hưởng một chút về cách an toàn PPA là dành cho bạn. PPA như đã đề cập ở trên trong các ý kiến ​​không được Canonical chứng nhận.

  2. Có bao nhiêu người dùng đã sử dụng PPA - Ví dụ: tôi có PPA từ http://winehq.org trong PPA cá nhân của tôi. Bạn có tin tưởng ME với 10 người dùng xác nhận bằng cách sử dụng PPA của tôi có 6 người trong số họ nói rằng nó hút hơn so với một trong những Scott Ritchie cung cấp như ppa: ubuntu-wine / ppa trong trang web chính thức của winehq. Nó có hàng ngàn người dùng (bao gồm cả tôi) sử dụng PPA của mình và tin tưởng công việc của mình. Đây là công việc có nhiều năm đằng sau nó.

  3. Cập nhật PPA như thế nào - Hãy để chúng tôi nói rằng bạn đang sử dụng Ubuntu 10.04 hoặc 10.10, và bạn muốn sử dụng PPA đặc biệt đó. Bạn phát hiện ra rằng bản cập nhật cuối cùng cho PPA đó là 20 năm trước .. O.o. Các cơ hội bạn có về việc sử dụng THPA PPA là null. Tại sao?. Bởi vì các gói phụ thuộc mà PPA cần rất cũ và có thể các cập nhật thay đổi quá nhiều mã mà chúng sẽ không làm việc với PPA và có thể phá vỡ hệ thống của bạn nếu bạn cài đặt bất kỳ gói nào của PPA đó vào hệ thống của bạn.

    Làm thế nào cập nhật một PPA ảnh hưởng đến quyết định sử dụng nó nếu anh ta / cô ấy muốn sử dụng PPA R .NG. Nếu không họ sẽ đi tìm một số khác nữa. Bạn không muốn Banshee 0.1 hoặc Wine 0.0.0.1 hoặc OpenOffice 0.1 Beta Alpha Omega Thundercat Edition với Ubuntu mới nhất. Những gì bạn muốn là một PPA được cập nhật cho Ubuntu hiện tại của bạn. Hãy nhớ rằng một PPA đề cập đến phiên bản Ubuntu được tạo cho hoặc nhiều phiên bản Ubuntu được tạo ra.

    Ví dụ về điều này ở đây là một hình ảnh của các phiên bản được hỗ trợ trong Wine PPA:

    enter image description here

    Ở đây bạn có thể thấy rằng PPA này được hỗ trợ kể từ khi khủng long.

    Một điều BAD về cách cập nhật một PPA là, nếu người bảo trì PPA có xu hướng đẩy vào PPA phiên bản mới nhất, lớn nhất và cắt cạnh của một gói cụ thể. Mặt trái của điều này là nếu bạn định thử nghiệm cái gì đó mới nhất, bạn sẽ tìm thấy một số lỗi. Cố gắng gắn bó với các PPA được cập nhật lên một phiên bản ổn định và không phải là một phiên bản không ổn định, thử nghiệm hoặc dev vì nó có thể / sẽ chứa các lỗi. Ý tưởng về việc có phiên bản mới nhất cũng là để KIỂM TRA và nói những vấn đề đã được tìm thấy và giải quyết chúng. Một ví dụ về điều này là PPAs Xorg hàng ngày và PPAs hàng ngày của Mozilla. Bạn sẽ nhận được khoảng 3 cập nhật hàng ngày cho X.org hoặc Firefox nếu bạn nhận được các bản tin. Điều này là do công việc đặt trong đó và nếu bạn đang sử dụng PPAs hàng ngày của họ, điều đó có nghĩa là bạn muốn trợ giúp tìm lỗi hoặc phát triển và KHÔNG cho môi trường sản xuất.

Về cơ bản gắn bó với điều này 3 và bạn sẽ được an toàn. Luôn tìm kiếm nhà sản xuất / người bảo trì của PPA. Luôn luôn xem có bao nhiêu người dùng đã sử dụng nó và luôn xem cách cập nhật PPA. Những nơi như OMGUbuntu, Phoronix, Slashdot, Chữ H, WebUp8 và ngay cả ở đây trong AskUbuntu là những nguồn tốt để tìm thấy nhiều người dùng và bài viết nói về và đề xuất một số PPAs mà họ đã thử nghiệm.

Ví dụ về PPA ổn định - LibreOffice, OpenOffice, Banshee, Rượu, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC là các PPA tốt và an toàn từ trải nghiệm của tôi.

Bán ổn định PPA - PPA X-Swat là PPA ở giữa giữa cạnh chảy máu và ổn định.

Chảy máu cạnh PPA - Xorg-Edgers là một PPA cạnh chảy máu mặc dù tôi nên đề cập rằng sau 12.04, PPA này đã trở nên ngày càng ổn định hơn. Tôi vẫn sẽ đánh dấu nó như là cạnh chảy máu nhưng nó là đủ ổn định cho người dùng cuối.

PPA có thể chọn - Ưu đãi thắng tay đây một cách để người dùng lựa chọn, bạn có muốn một phiên bản ổn định hay bạn muốn cạnh chảy máu (còn được gọi là phiên bản Snapshot). Trong trường hợp này, bạn có thể chọn những gì bạn muốn sử dụng.

Lưu ý rằng trong trường hợp sử dụng ví dụ của PPA X-Swat với PPA Xorg-Edgers, bạn sẽ nhận được một hỗn hợp giữa hai (Với ưu tiên hướng tới Xorg-Edgers). Điều này là do cả hai đều cố gắng bao gồm hầu hết các gói giống nhau, vì vậy chúng sẽ ghi đè lên nhau và chỉ một cập nhật mới nhất sẽ hiển thị trong kho của bạn (Ngoại trừ nếu bạn tự cho nó lấy gói từ X-Swat).

Một số PPA có thể cập nhật một số gói của bạn khi bạn thêm chúng vào kho lưu trữ của bạn vì chúng sẽ ghi đè lên phiên bản của riêng chúng một gói nhất định để làm cho phần mềm PPA hoạt động chính xác trên hệ thống của bạn. Điều này có thể là một số gói mã, phiên bản python, vv .. Khác như LibreOffice PPA sẽ loại bỏ tất cả sự tồn tại của OpenOffice khỏi hệ thống của bạn để cài đặt các gói LibreOffice ở đó. Về cơ bản đọc những gì người dùng khác đã nhận xét về một gói cụ thể và cũng đọc nếu gói đó tương thích với phiên bản Ubuntu của bạn.

Như bình luận dưới đây gợi ý bởi Jeremy Bicha, một số nhược điểm (PPAs ở lại rất cập nhật bao gồm việc thêm phần mềm chất lượng Alpha, Beta hoặc RC trong PPA) có thể làm hỏng toàn bộ hệ thống của bạn (Trong trường hợp xấu nhất). Jeremy đề cập đến một ví dụ về nhiều người.


204
2018-04-17 17:57



Điều này đúng cho vô số PPA mà bạn cần phải cài đặt để có được các chủ đề như equinox, tiểu học, vv? - abel
Vâng. Nó áp dụng cho bất kỳ PPA nào. Hãy nhớ rằng một PPA của nó chỉ là một cách dễ dàng để cập nhật một chương trình hoặc nhóm các chương trình thông qua một người nào đó đưa nó vào thời gian của họ để họ nâng cấp. Vì vậy, nó là một nơi mà ai đó dành thời gian của mình cho một cái gì đó để được cập nhật hoặc tương thích với hệ thống mới nhất / cũ hơn. Nhưng vì nó là một con người đang làm nó, có thể có những sai lầm trên đường. - Luis Alvarado♦
Làm cách nào để khám phá số lượng người dùng PPA có? - damien
Có thêm một PPA cung cấp cho tin tặc một số lỗ để đi qua? - mathmaniage


Để phát triển PPA trên bảng khởi chạy, người đóng góp phải ký Quy tắc ứng xử của Ubuntu. Điều này có nghĩa là nhà phát triển phải tuân thủ một bộ tiêu chuẩn tối thiểu.

Thông thường mọi người nên tham khảo ý kiến ​​ubuntuforums để xem ai đã sử dụng ppa cụ thể và nếu họ có thể gây ra bất kỳ vấn đề nào.

Đối với một "người mới" hoặc "noob" - lời khuyên tốt nhất của tôi là tránh xa PPA cho đến khi bạn cảm thấy tự tin rằng bạn hiểu một vài điều về dòng lệnh, các thông báo lỗi tiềm ẩn và một vài cách để chẩn đoán vấn đề.

Để loại bỏ vấn đề gây ra của ppa, bạn có thể sử dụng hầu hết thời gian "ppa_purge"

Nếu bạn cảm thấy lo lắng, hãy cân nhắc việc sao lưu ảnh của máy tính bằng một công cụ như clonezilla. Bằng cách đó, nếu mọi thứ đi sai và bạn không thể giải quyết nó, ít nhất bạn có một phương tiện nhanh chóng để khôi phục lại máy tính của bạn trở lại cách trước khi bạn bắt đầu chơi.

Có nói tất cả điều đó, ppa là cực kỳ hữu ích để có được phiên bản mới nhất của phần mềm - đặc biệt là cho những người không cố gắng nâng cấp mỗi 6 tháng và gắn bó với phiên bản LTS của ubuntu.


55
2018-04-17 17:27



Tôi rất thích câu trả lời của bạn ở đầu chỉ để tư vấn cho người mới. :( - Braiam
@fossFreedom: Tôi có nhận được cập nhật tự động không nếu tôi cài đặt qua ppa hoặc apt-get install tiện ích - Rajat Gupta
@ user01 - nếu người tạo PPA cập nhật gói với phiên bản mới, có - bạn sẽ nhận được bản cập nhật tự động nếu bạn đã thêm PPA trước rồi apt-get install package - fossfreedom♦
Tất nhiên, một người dùng độc hại sẽ không bị dừng lại bằng việc phải ký mã hành vi ... - evilsoup
Bản sao lưu sẽ không giúp bạn tiết kiệm từ trộm cắp kỹ thuật số (ví dụ: PPA độc hại gửi cookie trình duyệt hoặc khóa ssh của bạn về nhà). Nếu bạn đang thực sự cảm thấy lo lắng, nó sẽ được an toàn để cài đặt và chạy PPA bên trong một máy ảo, container hoặc schroot. - joeytwiddle


Nó không chỉ là vấn đề phần mềm độc hại, như đã được nói. Nó cũng là một số phần mềm có thể vẫn còn trong giai đoạn thử nghiệm và chưa sẵn sàng để sử dụng sản xuất. Nếu bạn cài đặt nó và dựa vào nó để hoàn thành công việc, bạn có thể thấy rằng nó là lỗi, không đáng tin cậy và có thể sụp đổ - để lại cho bạn mà không có công việc bạn đã làm.

Một số có thể cũng không hòa hợp với các khía cạnh khác của Ubuntu, chẳng hạn như Unity hoặc Gnome, gây ra các vấn đề khó theo dõi, và thậm chí có thể làm cho hệ thống của bạn không ổn định.

Điều này không phải vì phần mềm là xấu, nhưng bởi vì nó có lẽ chưa được thử nghiệm đầy đủ, hoặc bởi vì nó đã được tạo sẵn để mọi người có thể kiểm tra nó, nhưng chưa có ý định được phát hành chung như phần mềm sản xuất. Vì vậy, bạn nên sử dụng thận trọng, mặc dù một số trong số đó thực sự khá tốt.

Một số tháng trước, tôi đã cài đặt một gói được đề xuất từ ​​một PPA cụ thể và nó đã chuyển vào hệ thống của tôi đủ để tôi phải cài đặt lại Ubuntu. Tôi là một người dùng mới và không biết phải làm gì khác; với kiến ​​thức nhiều hơn một chút, tôi có thể giải quyết vấn đề và khôi phục nó mà không cần cài đặt lại (mặc dù vậy, cũng hữu ích đối với tôi khi học Ubuntu, nhưng nếu tôi đã làm việc được lưu trên máy của mình thì tôi sẽ mất nó) .

Vì vậy, hãy cẩn thận, đặt câu hỏi, tạo bản sao lưu thường xuyên (!!!) và biết rằng phần mềm độc hại không chắc chắn (mặc dù không phải là không thể).


21
2017-12-01 20:52





Tất cả các mối quan tâm được liệt kê bởi những người khác ở đây là cực kỳ quan trọng để hiểu. Điều đó nói rằng, vì đây là nguồn mở, chúng ta có thể nói chính xác những gì PPA đã thay đổi từ phiên bản của gói trong Ubuntu. Chúng tôi sẽ sử dụng PPA từ bản sao này làm ví dụ.

Đầu tiên chúng ta sẽ lấy nguồn từ PPA dget một công cụ sẽ tải xuống tất cả các phần của gói nguồn Debian được cung cấp liên kết tới dsc tập tin:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Tôi đã tìm thấy liên kết đó bằng cách nhấp vào "Xem chi tiết gói":

View package details

Và sau đó:

find dsc file

Tiếp theo, chúng ta sẽ lấy nguồn của gói trong kho lưu trữ Ubuntu:

apt-get source unity

Cuối cùng, chúng tôi sẽ sử dụng debdiff để thấy sự khác biệt giữa nguồn của hai gói:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Đầu ra của lệnh đó dài khoảng ba trăm dòng, vì vậy tôi sẽ đặt nó trên một cây dâu tây thay vì trực tiếp vào cửa sổ. Bây giờ, tôi không thể xác minh cho mã tốt như thế nào kể từ khi tôi không thực sự biết C + +, nhưng nó có vẻ là làm những gì nó tuyên bố và không phải bất cứ điều gì độc hại.


17
2018-06-05 14:14



+1, nhưng liên kết của bạn đã bị hỏng. - unforgettableid


PPA là một thư mục web chứa phần mềm bạn có thể cài đặt. Nó thực sự không phức tạp hơn thế. Khi bạn cài đặt một gói, bạn làm điều đó với các đặc quyền root và gói có các kịch bản được chạy, vì vậy chúng được chạy dưới dạng root. Điều đó có nghĩa là cài đặt bất kỳ phần mềm nào là nguy hiểm và bạn cần phải tin tưởng nhà phát triển hoặc nhà phân phối.

Một lưu trữ apt, PPA hay cách khác, được thăm dò thường xuyên để cập nhật phần mềm bạn đã cài đặt. "Vấn đề" với điều đó, là bất cứ ai cũng có thể cung cấp một gói phần mềm mới hơn mà bạn đã cài đặt. Ví dụ, bạn có thể thêm một PPA để có được một chủ đề đẹp và cập nhật tự động của chủ đề đó. Nhưng một khi bạn đã thêm kho lưu trữ đó, chủ sở hữu có thể thêm gói openssh-server được vá, ví dụ, và nó sẽ xuất hiện dưới dạng bản cập nhật trong Ubuntu. Điều này có thể được thực hiện một năm sau khi bạn thêm PPA, vì vậy bạn cần phải chú ý đến các bản cập nhật.

Tuy nhiên, hệ thống PPA ngăn cản các bên thứ ba giả mạo các gói, vì vậy nếu bạn tin tưởng nhà phát triển / nhà phân phối, thì các PPA rất an toàn. Ví dụ: nếu bạn cài đặt Google Chrome, thì họ sẽ thêm PPA để bạn sẽ nhận được cập nhật tự động cho nó. Họ thêm "deb http://dl.google.com/linux/chrome/deb/ Nếu máy chủ DNS bạn sử dụng đã bị hack để trỏ dl.google.com đến một nơi khác, thì họ có thể đẩy phần mềm đã vá lên tất cả những người đã cài đặt Chrome. Nhưng Ubuntu sẽ từ chối cài đặt chúng vì chúng không thể được ký với Googles Vì vậy, trong vấn đề đó, PPA rất an toàn.

Không thể nói rằng một PPA là an toàn hay không. Nó phụ thuộc vào những người sử dụng nó để phân phối phần mềm. Với phần mềm miễn phí, mọi người có thể xem mã nguồn và xem nó có an toàn hay không. Khi nhiều người sử dụng một kho lưu trữ, như lưu trữ thông thường của Ubuntu, thì bạn có đánh giá ngang hàng. Các tài liệu lưu trữ nhỏ với ít người dùng không có điều đó, vì vậy chúng ít đáng tin cậy hơn. Bài học chính là không có vấn đề gì bạn sử dụng hệ thống, bạn nên cẩn thận khi cài đặt phần mềm.


13
2017-08-29 18:50





Xây dựng trên Câu trả lời của Luis Alvarado, bạn nên biết những rủi ro sau:

  • Gói độc hại—Gói có thể cố làm hại bạn. Điều này là dễ dàng cho họ bởi vì họ có thể chạy bất kỳ mã với quyền quản trị.
  • Chất lượng kém hoặc phần mềm không tương thích—Ứng dụng có thể không hoạt động tốt. Nó có thể vô tình gây ra thiệt hại bởi, ví dụ, can thiệp vào các phần mềm khác, phá hủy dữ liệu của bạn, hoặc rò rỉ thông tin cá nhân.

và bạn nên chú ý đến những yếu tố sau:

  • Trung thực của người bảo trì-Nhìn người bảo trì bí mật cố gắng làm hại bạn?
  • Bảo mật của người bảo trì- Người bảo trì có dễ bị tấn công bởi một bên thứ ba không?
  • Độ tin cậy của người bảo trì—Có phải người duy trì đáp ứng nhu cầu cập nhật trong một khung thời gian hợp lý không? Họ có cam kết duy trì PPA trong dài hạn không?
  • Bảo mật của kho lưu trữ—Các gói có chữ ký của người bảo trì không?
  • Hiệu suất của phần mềm—Là phần mềm không có lỗi và tương thích với hệ thống của bạn?

12
2017-11-06 17:48





Các gói trên PPA không được kiểm tra về những thứ như phần mềm độc hại. Vì vậy, trong khi ai đó có thể được đóng gói một cái gì đó giống như XBMC cho bạn, họ rất có thể cũng dễ dàng thêm một số phần mềm gián điệp / phần mềm độc hại là tốt. Đây là lý do tại sao bạn không nên thêm bất kỳ PPA ngẫu nhiên nào.


8
2017-12-01 20:16



bạn có thể nói chính xác những gì là XMBC, tôi là một ubu khá mới - kernel_panic
XBMC là một phần mềm trung tâm truyền thông. Nó là phần mềm tốt và an toàn. Anh ta chỉ sử dụng nó làm ví dụ, nó có thể là bất kỳ phần mềm nào. - Anonymous
phần mềm độc hại có thể làm gì trong ubuntu, nó nên yêu cầu sự cho phép đối với bất cứ điều gì và mọi thứ đúng không? - kernel_panic
Khi bạn đã cài đặt nó (tức là cho phép root nó sao chép các tệp của nó vào các thư mục hệ thống và chạy các tập lệnh tùy chỉnh), nó có thể làm bất cứ điều gì nó mong muốn với hệ thống. Đó là lý do tại sao điều quan trọng là phải cài đặt các gói từ các nguồn đáng tin cậy. - arrange
Sai. Khi bạn cài đặt một phần mềm, bạn là người chủ khi làm như vậy. Khá dễ dàng để nhận được sự cho phép đó và bắt đầu làm những điều xấu. - tgm4883


Khi bạn thêm ppa và cài đặt một chương trình thông qua nó.

Về cơ bản bạn cho phép cư trú chương trình đó trong khu vực thực thi được phép (/ bin / / sbin / / usr / bin /).

Bây giờ nếu chương trình chính nó là / có bằng cách nào đó một phần mềm độc hại sau đó hệ thống sẽ không phàn nàn về nó như bạn là một trong những người thêm ppa xem xét đáng tin cậy của nó.

Khi chương trình đến từ kho lưu trữ Ubuntu, chúng được kiểm tra lần đầu tiên (tôi muốn nói một cách kỹ lưỡng nhưng tôi không biết: P) vì vậy những chương trình từ kho lưu trữ Ubuntu hoàn toàn không có phần mềm độc hại / phần mềm gián điệp.

Đối với bất kỳ ppa khác của nó tối đa bạn / người dùng để quyết định có nên tin tưởng nó hay không.


3
2017-12-01 20:22



phần mềm độc hại có thể làm gì trong ubuntu, nó nên yêu cầu sự cho phép đối với bất cứ điều gì và mọi thứ đúng không? - kernel_panic
Khi bạn cài đặt phần mềm, nó sẽ yêu cầu quyền root (màn hình tối và bạn nhập mật khẩu của bạn). Tại thời điểm này nó có thể làm bất cứ điều gì: xóa mọi thứ khỏi hộp của bạn, cài đặt keylogger, thay đổi nền màn hình của bạn thành hello kitty, bất cứ điều gì. - SCdF
owh !!!! Cảm ơn rất nhiều!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: trong khi cài đặt nó yêu cầu sự cho phép để cư trú trong khu vực thực thi, một khi nó ở đó nó có thể truy cập cho bất kỳ thông tin phi su một cách dễ dàng. Có những chương trình cần sự cho phép để thực thi tuy nhiên nếu chương trình có thêm hành lý (đọc phần mềm độc hại) trong khi đóng gói, nó có thể thực thi mà không có vấn đề gì khi bạn nhập mật khẩu của mình. - wisemonkey
Dev PPA là tuyến đường an toàn nhất và cũng cần xem thời gian của người đóng góp tại Launchpad. Những yếu tố này đảm bảo một hệ thống an toàn, ổn định sử dụng PPA cho các chương trình mới nhất. Tôi đã tìm thấy lộ trình này để giữ cho LTS của tôi hoạt động lâu dài với các phiên bản chương trình mới cụ thể mà tôi sử dụng. - Arup Roy Chowdhury