Question Les PPA peuvent-ils être ajoutés à mon système et quels sont les «drapeaux rouges» à surveiller?


Je vois beaucoup de programmes intéressants qui ne peuvent être obtenus qu'en ajoutant un "PPA" au système mais, si je comprends bien, nous devrions rester dans les "dépôts" officiels pour ajouter des logiciels à notre système.

Y a-t-il un moyen pour un novice de savoir si un «PPA» est sûr ou s'il devrait être évité? Quels conseils l’utilisateur devrait-il connaître en cas d’APP?


282
2018-04-17 16:31


origine


Voir également: askubuntu.com/questions/7662/… - Mechanical snail
Vous pouvez vérifier s'il y a un snappy paquet disponible aussi. Ils ont tendance à être limités par les règles de sécurité. Vous devez explicitement accorder certaines autorisations à certains snaps, bien que le problème général soit le même (vous devez faire confiance à l'éditeur). - Ken Sharp


Réponses:


PPA (Archive personnelle des paquets) sont utilisés pour inclure un logiciel spécifique dans votre Ubuntu, Kubuntu ou toute autre distribution compatible PPA. Le "sécurité"d'un PPA dépend principalement de 3 choses:

  1. Qui a fait le PPA? - Un PPA officiel de WINE ou LibreOffice comme ppa: libreoffice / ppa et une PPA que j'ai moi-même créée n'est pas la même. Vous ne me connaissez pas en tant que responsable de la PPA, donc le problème de confiance et de sécurité est TRÈS faible pour moi (puisque j'aurais pu créer un paquet corrompu, un paquet incompatible ou autre), mais pour LibreOffice et le PPA , QUI lui donne un certain filet de sécurité. Ainsi, en fonction de la personne qui a effectué la PPA, combien de temps il a réalisé et maintenu l'APP influencera-t-il un peu la sécurité de l'APP pour vous. Les PPA mentionnés ci-dessus dans les commentaires ne sont pas certifiés par Canonical.

  2. Combien d'utilisateurs ont utilisé le PPA - Par exemple, j'ai un PPA de http://winehq.org dans mon PPA personnel. Souhaitez-vous me faire confiance avec 10 utilisateurs qui confirment utiliser mon PPA avec 6 d'entre eux disant que c'est nul que celui que Scott Ritchie propose? ppa: ubuntu-wine / ppa sur le site officiel de winehq. Des milliers d'utilisateurs (y compris moi) utilisent son PPA et font confiance à son travail. C'est un travail qui a plusieurs années de retard.

  3. Comment le PPA est-il mis à jour? - Disons que vous utilisez Ubuntu 10.04 ou 10.10, et que vous souhaitez utiliser cette PPA spéciale. Vous découvrez que la dernière mise à jour de cet PPA a eu lieu il y a 20 ans. Les chances que vous avez d'utiliser ce PPA sont nulles. Pourquoi?. Parce que les dépendances de paquetage dont PPA a besoin sont très anciennes et que celles mises à jour changent tellement de code qu'elles ne fonctionneront pas avec le PPA et éventuellement briser votre système si vous installez un des packages de ce PPA sur votre système.

    Dans quelle mesure une PPA mise à jour influence-t-elle la décision de l'utiliser si elle souhaite utiliser CEPP. Sinon, ils préféreraient en chercher un autre plus à jour. Vous ne voulez pas Banshee 0.1 ou Wine 0.0.0.1 ou OpenOffice 0.1 Beta Alpha Omega Thundercat Edition avec la dernière version d'Ubuntu. Ce que vous voulez, c'est un PPA mis à jour avec votre Ubuntu actuel. Rappelez-vous qu'un PPA mentionne pour quoi la version d'Ubuntu est faite ou que plusieurs versions d'Ubuntu ont été faites.

    À titre d'exemple, voici une image des versions prises en charge dans le PPA Wine:

    enter image description here

    Ici, vous pouvez voir que ce PPA est pris en charge depuis les dinosaures.

    Une mauvaise chose à propos de la mise à jour d'un PPA est que le responsable du PPA ait tendance à introduire dans le PPA la version la plus récente, la plus performante et la plus avancée d'un package spécifique. L'inconvénient est que si vous testez le dernier, vous allez trouver des bogues. Essayez de vous en tenir aux PPA qui sont mis à jour vers une version stable et non une version instable, de test ou de développement, car elle pourrait contenir / contiendrait des bogues. L'idée d'avoir le dernier est aussi de tester et de dire quels problèmes ont été trouvés et de les résoudre. Les PPA quotidiens de Xorg et les PPA de Daily Mozilla en sont un exemple. Vous obtiendrez environ 3 mises à jour quotidiennes pour X.org ou Firefox si vous obtenez les quotidiens. C'est à cause du travail que vous avez mis en place et si vous utilisez leurs PPA quotidiens, cela signifie que vous voulez aider avec la recherche ou le développement de bogues et PAS pour un environnement de production.

En gros, restez avec ce 3 et vous serez en sécurité. Recherchez toujours le créateur / mainteneur de la PPA. Vérifiez toujours si de nombreux utilisateurs l'ont utilisé et voyez toujours à quel point le PPA est mis à jour. Des endroits comme OMGUbuntu, Phoronix, Slashdot, Le H, WebUp8 et même ici, dans AskUbuntu, il existe de bonnes sources pour trouver de nombreux utilisateurs et articles parlant et recommandant certains PPA qu'ils ont testés.

Exemples de PPA stables - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sont de bons PPA sûrs de mon expérience.

PPA semi-stable - Le PPA X-Swat est un PPA moyen entre le saignement et la stabilité.

PPA de saignement - Xorg-Edgers est un PPA à la pointe de la technologie, même si je dois mentionner qu’après 12.04, ce PPA est devenu de plus en plus stable. Je le marquerais tout de même comme étant à la pointe de la technologie, mais il est suffisamment stable pour les utilisateurs finaux.

PPA sélectionnable - Offres de frein à main ici une manière pour l'utilisateur de choisir, voulez-vous une version stable ou voulez-vous la version la plus récente (également appelée Snapshot). Dans ce cas, vous pouvez sélectionner ce que vous voulez utiliser.

Notez que dans le cas de l'utilisation, par exemple, du ppa X-Swat avec le PPA Xorg-Edgers, vous obtiendrez un mix entre les deux (avec priorité sur Xorg-Edgers). C'est parce que les deux essaient d'inclure presque les mêmes paquets, donc ils vont se remplacer et seul le plus à jour sera affiché dans vos dépôts (sauf si vous lui dites manuellement de récupérer le paquet de X-Swat).

Certains PPA peuvent mettre à jour certains de vos packages lorsque vous les ajoutez à votre référentiel, car ils écrasent avec leur propre version un package spécifique pour que le logiciel PPA fonctionne correctement sur votre système. Cela pourrait être des paquets de code, des versions de python, etc. D'autres, comme le PPA de LibreOffice, supprimeront toute existence d'OpenOffice de votre système pour installer les paquets LibreOffice. Lisez essentiellement ce que les autres utilisateurs ont commenté sur un paquet spécifique et lisez également si le paquet est compatible avec votre version d'Ubuntu.

Comme le suggère le commentaire ci-dessous de Jeremy Bicha, certaines avancées (les PPA qui restent très à jour, y compris l’ajout de logiciels de qualité Alpha, Beta ou RC dans le PPA) pourraient endommager tout votre système (dans le pire des cas). Jeremy mentionne un exemple de plusieurs.


204
2018-04-17 17:57



Est-ce vrai pour la multitude de PPA que vous devez installer pour obtenir des thèmes tels que l'équinoxe, l'élémentaire, etc.? - abel
Oui. Cela s'applique à tout PPA. Rappelez-vous qu'un PPA est juste un moyen facile de mettre à jour un programme ou un groupe de programmes via quelqu'un qui prend leur temps pour les mettre à niveau. Donc, c'est un endroit où quelqu'un consacre son temps à quelque chose à mettre à jour ou compatible avec le dernier système / ancien. Mais comme c'est un humain qui le fait, il peut y avoir des erreurs sur le chemin. - Luis Alvarado♦
Comment découvre-t-on le nombre d'utilisateurs d'un PPA? - damien
L'ajout d'un PPA donne-t-il aux pirates des trous à traverser? - mathmaniage


Pour développer des PPA sur le tableau de bord, le contributeur doit avoir signé le code de conduite d'ubuntu. Cela signifie que le développeur doit respecter un ensemble minimum de normes.

Habituellement, les gens devraient alors consulter les ubuntuforums pour savoir qui a utilisé des ppa particuliers et s'ils peuvent causer des problèmes.

Pour un "novice" ou un "noob", mon meilleur conseil est d'éviter les PPA jusqu'à ce que vous soyez certain de comprendre certaines choses sur la ligne de commande, les messages d'erreur potentiels et quelques points sur la manière de diagnostiquer les problèmes.

Pour supprimer les problèmes causant ppa, vous pouvez la plupart du temps utiliser "ppa_purge"

Si vous vous sentez nerveux, envisagez une sauvegarde d'image de votre ordinateur avec un outil comme clonezilla. De cette façon, si les choses tournent mal et que vous ne pouvez pas le résoudre, au moins vous avez un moyen rapide de restaurer votre ordinateur comme il était avant de commencer à jouer.

Cela étant dit, les PPA sont extrêmement utiles pour obtenir les dernières versions du logiciel - en particulier pour ceux qui n'essaient pas de mettre à jour tous les 6 mois et de conserver la version LTS d'ubuntu.


55
2018-04-17 17:27



J'adorerais votre réponse au sommet juste pour le conseil aux novices. :( - Braiam
@fossFreedom: est-ce que je reçois des mises à jour automatiques si j'installe via ppa ou apt-get install utilitaire - Rajat Gupta
@ user01 - si la personne qui a créé le PPA met à jour le paquet avec une nouvelle version, oui - vous obtiendrez la mise à jour automatiquement si vous avez d'abord ajouté le PPA puis apt-get install package - fossfreedom♦
Bien sûr, un utilisateur malveillant ne sera pas arrêté en signant le code de conduite ... - evilsoup
Les sauvegardes ne vous sauveront pas du vol numérique (par exemple, un PPA malveillant envoyant les cookies de votre navigateur ou les clés ssh à la maison). Si vous vous sentez vraiment nerveux, installer et exécuter le PPA dans une machine virtuelle, un conteneur ou schroot. - joeytwiddle


Il ne s’agit pas simplement d’un problème de malware, comme cela a déjà été dit. Il se peut également que certains logiciels soient encore en phase de test et non prêts à être utilisés en production. Si vous l'installez et que vous comptez sur lui pour que le travail soit terminé, vous pourriez constater qu'il est bogué, peu fiable et qu'il peut tomber en panne, vous laissant sans travail.

Certains peuvent ne pas bien s’accorder avec d’autres aspects d’Ubuntu, tels que Unity ou Gnome, causant des problèmes difficiles à tracer, voire rendant votre système instable.

Ce n’est pas parce que le logiciel est mauvais, mais parce qu’il n’a peut-être pas encore été entièrement testé ou parce qu’il a été mis à disposition pour le tester, mais pas encore Donc, vous devriez faire preuve de prudence, bien que certaines soient vraiment très bonnes.

Il y a un certain nombre de mois, j'ai installé un paquet recommandé à partir d'un PPA particulier, et cela a détruit suffisamment mon système pour que je doive réinstaller Ubuntu. J'étais un nouvel utilisateur et je ne savais pas quoi faire d'autre; avec un peu plus de connaissances que je pourrais avoir pu résoudre le problème et restaurer sans faire une réinstallation (bien que, aussi, me était utile dans l'apprentissage Ubuntu, mais si j'avais travaillé sauvé sur ma machine, je l'ai perdu) .

Alors soyez prudent, posez des questions, effectuez des sauvegardes fréquentes (!!!) et sachez que les logiciels malveillants sont peu probables (mais pas impossibles).


21
2017-12-01 20:52





Toutes les préoccupations énumérées par d'autres ici sont extrêmement importantes à comprendre. Cela dit, comme il s’agit d’une source ouverte, nous pouvons dire exactement ce que le PPA a changé depuis la version du package dans Ubuntu. Nous utiliserons le PPA de ce duplicata par exemple.

Nous allons d'abord prendre la source de la PPA dget un outil qui téléchargera tous les éléments d’un paquet source Debian avec un lien vers le dsc fichier:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

J'ai trouvé ce lien en cliquant sur "Afficher les détails du package":

View package details

Et alors:

find dsc file

Ensuite, nous allons obtenir la source du paquet dans l'archive Ubuntu:

apt-get source unity

Enfin, nous allons utiliser debdiff pour voir les différences entre la source des deux packages:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

La sortie de cette commande a environ trois cents lignes de long, alors je vais le mettre sur un pastebin au lieu de directement dans la fenêtre. Maintenant, je ne peux pas garantir à quel point le code est bon, car je ne connais pas vraiment le C ++, mais il semble faire ce qu'il prétend et non quelque chose de malveillant.


17
2018-06-05 14:14



+1, mais votre lien pastebin est cassé. - unforgettableid


Un PPA est un dossier Web contenant des logiciels que vous pouvez installer. Ce n'est vraiment pas beaucoup plus compliqué que ça. Lorsque vous installez un package, vous le faites avec les privilèges root et le package a des scripts qui sont exécutés. Ils sont donc exécutés en tant que root. Cela signifie que l'installation de tout logiciel est dangereuse et que vous devez faire confiance au développeur ou au distributeur.

Une archive appropriée, PPA ou autre, est interrogée régulièrement pour les mises à jour des logiciels que vous avez installés. Le "problème" avec cela est que n'importe qui peut fournir un nouveau logiciel que vous avez installé. Par exemple, vous pouvez ajouter un PPA pour obtenir un thème intéressant et des mises à jour automatiques de ce thème. Mais une fois que vous avez ajouté ce référentiel, le propriétaire peut ajouter un package openssh-server corrigé, par exemple, et il apparaîtra comme une mise à jour dans Ubuntu. Cela peut être fait un an après avoir ajouté le PPA, vous devez donc faire attention aux mises à jour.

Le système PPA empêche toutefois les tiers de manipuler les packages, donc si vous faites confiance au développeur / distributeur, les PPA sont très sûrs. Par exemple, si vous installez Google Chrome, ils ajoutent un PPA afin de recevoir automatiquement des mises à jour. Ils ajoutent "deb http://dl.google.com/linux/chrome/deb/ stable main. "Si le serveur DNS que vous utilisez a été piraté pour pointer dl.google.com ailleurs, alors ils pourraient pousser les logiciels patchés sur tous ceux qui avaient installé Chrome. Mais Ubuntu refuserait de les installer car ils ne pourraient pas être signés avec Google clé privée. À cet égard, les AAE sont très sécurisés.

Il n'est pas possible de dire qu'un PPA est sûr ou non. Cela dépend des personnes qui l'utilisent pour distribuer des logiciels. Avec le logiciel libre, les gens peuvent regarder la source et voir si elle est sûre ou non. Lorsque de nombreuses personnes utilisent une archive, comme les archives régulières d'Ubuntu, vous avez alors une évaluation par les pairs. Les petites archives avec peu d'utilisateurs n'ont pas cela, elles sont donc moins fiables. La leçon principale est que, quel que soit le système que vous utilisez, vous devez faire attention lors de l'installation du logiciel.


13
2017-08-29 18:50





S'appuyant sur La réponse de Luis Alvarado, vous devez être conscient de ces risques:

  • Paquets malveillants—Les paquets peuvent essayer de vous nuire. C'est facile pour eux car ils peuvent exécuter n'importe quel code avec des privilèges d'administration.
  • Mauvaise qualité ou logiciel incompatibleUne application peut ne pas fonctionner correctement. Cela peut provoquer des dommages accidentels, par exemple en interférant avec d'autres logiciels, en détruisant vos données ou en faisant fuir des informations privées.

et vous devriez être attentif à ces facteurs:

  • Honnêteté du mainteneur- Le mainteneur essaiera-t-il secrètement de te faire du mal?
  • Sécurité du mainteneur—Le responsable est-il vulnérable aux attaques d'un tiers?
  • Fiabilité du mainteneur—Le responsable répondra-t-il au besoin de mises à jour dans un délai raisonnable? Sont-ils engagés à maintenir le PPA à long terme?
  • Sécurité du référentiel—Les packages sont-ils signés par le responsable?
  • Performance du logiciel—Le logiciel est-il exempt de bogues et compatible avec votre système?

12
2017-11-06 17:48





Les paquets sur les PPA ne sont pas vérifiés pour des choses comme les logiciels malveillants. Ainsi, bien que quelqu'un puisse créer pour vous quelque chose comme XBMC, il pourrait très facilement ajouter des logiciels espions / logiciels malveillants. C'est pourquoi vous ne devriez pas simplement ajouter un PPA aléatoire.


8
2017-12-01 20:16



pouvez-vous s'il vous plaît dire ce que c'est exactement XMBC, je suis tout à fait un nouveau ubu - kernel_panic
XBMC est un logiciel de centre de médias. C'est un logiciel bon et sûr. Il ne l'a utilisé que comme exemple, cela pourrait être n'importe quel logiciel. - Anonymous
Que peut faire un malware dans Ubuntu, il devrait demander la permission pour tout et n'importe quoi correctement? - kernel_panic
Une fois que vous l'avez installé (c'est-à-dire avec l'autorisation root pour copier ses fichiers dans les répertoires du système et exécuter des scripts personnalisés), il peut faire tout ce qu'il souhaite avec le système. C'est pourquoi il est important d'installer des packages à partir de sources fiables. - arrange
Incorrect. Lorsque vous installez un logiciel, vous êtes root. C'est assez facile de prendre cette permission et de commencer à faire de mauvaises choses. - tgm4883


Lorsque vous ajoutez ppa et installez un programme à travers elle.

Fondamentalement, vous autorisez la présence de ce programme dans la zone exécutable autorisée (/ bin / / sbin / / usr / bin /).

Maintenant, si le programme lui-même est / a en quelque sorte un malware, alors le système ne s'en plaindra pas car vous êtes celui qui a ajouté ppa compte tenu de sa fiabilité.

Lorsque le programme vient des dépôts Ubuntu, ils sont d'abord vérifiés (je voudrais dire à fond mais je ne sais pas: P), donc ceux des dépôts Ubuntu ne contiennent pas de logiciels malveillants / spywares.

Pour tout autre ppa, c'est à vous / utilisateur de décider s'il faut lui faire confiance ou non.


3
2017-12-01 20:22



Que peut faire un malware dans Ubuntu, il devrait demander la permission pour tout et n'importe quoi correctement? - kernel_panic
Lorsque vous installez le logiciel, il vous demandera l'autorisation root (l'écran s'assombrit et vous entrez votre mot de passe). À ce stade, il pourrait faire n'importe quoi: supprimez tout de votre boîte, installez un enregistreur de frappe, changez l'arrière-plan de votre bureau en bonjour kitty, n'importe quoi. - SCdF
owh !!!! Merci beaucoup!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: lors de l'installation, il demande la permission de résider dans la zone exécutable, une fois qu'il est là, il peut accéder facilement à toute information non-su. Il existe des programmes qui nécessitent une autorisation pour s'exécuter. Cependant, si le programme lui-même a des bagages supplémentaires (lire les logiciels malveillants) ajoutés lors de l'emballage, il peut s'exécuter sans problème lorsque vous saisissez votre mot de passe. - wisemonkey
Les PPA de développement constituent l'itinéraire le plus sûr et doivent également connaître la durée du contributeur au Launchpad. Ces facteurs garantissent un système sûr et stable utilisant des PPA pour les derniers programmes. J'ai trouvé cette voie pour que mon LTS fonctionne longtemps avec les nouvelles versions des programmes que j'utilise. - Arup Roy Chowdhury