Pertanyaan Apakah PPA aman untuk ditambahkan ke sistem saya dan apa saja “bendera merah” yang harus diperhatikan?


Saya melihat banyak program menarik di luar sana yang hanya dapat diperoleh dengan menambahkan "PPA" ke sistem tetapi, jika saya memahami dengan benar, kita harus tetap berada di "repositori" resmi untuk menambahkan perangkat lunak ke sistem kami.

Apakah ada cara bagi pemula untuk mengetahui apakah "PPA" aman atau apakah itu harus dihindari? Tips apa yang harus diketahui pengguna ketika berhadapan dengan PPA?


282
2018-04-17 16:31


asal


Lihat juga: askubuntu.com/questions/7662/… - Mechanical snail
Anda bisa memeriksa apakah ada snappy paket tersedia juga. Mereka cenderung dibatasi oleh aturan keamanan. Anda harus secara eksplisit memberikan izin tertentu ke beberapa snaps, meskipun masalah umumnya sama (Anda harus mempercayai penerbit). - Ken Sharp


Jawaban:


PPA (Arsip Paket Pribadi) digunakan untuk menyertakan perangkat lunak tertentu ke Ubuntu, Kubuntu atau distro kompatibel PPA lainnya. "keamanan"PPA sebagian besar tergantung pada 3 hal:

  1. Siapa yang membuat PPA - Sebuah PPA resmi dari WINE atau LibreOffice suka ppa: libreoffice / ppa dan AKP yang saya buat sendiri tidak sama. Anda tidak mengenal saya sebagai pengelola PPA, sehingga masalah kepercayaan dan keamanan SANGAT rendah bagi saya (Karena saya bisa membuat paket rusak, paket tidak kompatibel atau hal lain yang buruk), tetapi untuk LibreOffice dan PPA yang mereka tawarkan di situs web mereka , YANG memberikan jaring pengaman tertentu untuk itu. Jadi tergantung pada siapa yang membuat PPA, berapa lama dia telah membuat dan mempertahankan PPA akan mempengaruhi sedikit tentang seberapa aman PPA untuk Anda. PPA sebagaimana disebutkan di atas dalam komentar tidak disahkan oleh Canonical.

  2. Berapa banyak pengguna yang telah menggunakan PPA - Sebagai contoh, saya memiliki PPA dari http://winehq.org dalam PPA pribadi saya. Apakah Anda mempercayai saya dengan 10 pengguna yang mengkonfirmasi menggunakan PPA saya memiliki 6 dari mereka mengatakan itu menyebalkan daripada yang Scott Ritchie tawarkan sebagai ppa: ubuntu-wine / ppa di situs web winehq resmi. Ini memiliki ribuan pengguna (termasuk saya) yang menggunakan PPA dan percaya pekerjaannya. Ini adalah pekerjaan yang memiliki beberapa tahun di belakangnya.

  3. Cara memperbarui PPA adalah - Katakanlah Anda menggunakan Ubuntu 10.04 atau 10.10, dan Anda ingin menggunakan PPA khusus itu. Anda mengetahui bahwa pembaruan terakhir untuk PPA itu adalah 20 tahun yang lalu .. O.o. Kemungkinan yang Anda miliki dalam menggunakan BAHWA PPA adalah nol. Mengapa?. Karena dependensi paket yang dibutuhkan PPA sangat lama dan mungkin yang diperbarui mengubah begitu banyak kode sehingga mereka tidak akan bekerja dengan PPA dan mungkin melanggar sistem Anda jika Anda menginstal salah satu paket PPA itu ke sistem Anda.

    Bagaimana pembaruan PPA mempengaruhi keputusan untuk menggunakannya jika dia ingin menggunakan PPA ITU. Jika tidak, mereka lebih suka mencari yang lain yang lebih baru. Anda tidak ingin Banshee 0.1 atau Wine 0.0.0.1 atau OpenOffice 0.1 Beta Alpha Omega Thundercat Edition dengan Ubuntu terbaru. Apa yang Anda inginkan adalah PPA yang diperbarui ke Ubuntu Anda saat ini. Ingat bahwa PPA menyebutkan untuk apa versi Ubuntu dibuat untuk atau beberapa versi Ubuntu dibuat untuk.

    Sebagai contoh ini di sini adalah gambar dari versi yang didukung di Wine PPA:

    enter image description here

    Di sini Anda dapat melihat bahwa PPA ini didukung sejak Dinosaurus.

    Satu hal yang BURUK tentang bagaimana memperbaharui PPA adalah, jika PPA maintainer cenderung mendorong ke dalam PPA versi terbaru, terbesar dan terdepan dari paket tertentu. Sisi bawahnya adalah jika Anda akan menguji sesuatu yang terbaru, Anda akan menemukan beberapa bug. Cobalah untuk tetap dengan AKP yang diperbarui ke versi stabil dan bukan versi yang tidak stabil, pengujian atau dev karena mungkin / akan mengandung bug. Ide memiliki yang terbaru juga untuk UJI dan mengatakan masalah apa yang ditemukan dan menyelesaikannya. Contoh dari ini adalah PPA Xorg harian dan PPA Mozilla Harian. Anda akan mendapatkan sekitar 3 pembaruan setiap hari untuk X.org atau Firefox jika Anda mendapatkan harian. Ini karena pekerjaan yang dimasukkan di sana dan jika Anda menggunakan PPA harian mereka itu berarti Anda ingin membantu dengan perburuan atau pengembangan bug dan BUKAN untuk lingkungan produksi.

Pada dasarnya tetap dengan 3 ini dan Anda akan aman. Selalu mencari pembuat / pengelola PPA. Selalu perhatikan apakah banyak pengguna telah menggunakannya dan selalu melihat bagaimana pembaruan AKP. Tempat-tempat seperti OMGUbuntu, Phoronix, Slashdot, H, WebUp8 dan bahkan di sini di AskUbuntu adalah sumber yang baik untuk menemukan banyak pengguna dan artikel berbicara tentang dan merekomendasikan beberapa AKP yang telah mereka uji.

Contoh PPA Stabil - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC adalah PPA yang baik dan aman dari pengalaman SAYA.

PPA Semi Stabil - X-Swat PPA adalah di PPA tengah antara tepi pendarahan dan stabil.

Perdarahan Tepian PPA - Xorg-Edgers adalah PPA tepi perdarahan meskipun saya harus menyebutkan bahwa setelah 12.04, PPA ini menjadi lebih stabil. Saya masih akan menandainya sebagai tepi pendarahan tetapi cukup stabil untuk pengguna akhir.

PPA terpilih - Penawaran Handbrake sini cara bagi pengguna untuk memilih, apakah Anda menginginkan versi stabil atau apakah Anda menginginkan versi pendarahan (Juga disebut sebagai Snapshot). Dalam hal ini Anda dapat memilih apa yang ingin Anda gunakan.

Perhatikan bahwa dalam kasus menggunakan misalnya ppa X-Swat dengan Xorg-Edgers PPA, Anda akan mendapatkan campuran antara keduanya (Dengan prioritas terhadap Xorg-Edgers). Ini karena keduanya mencoba memasukkan hampir paket yang sama, sehingga mereka akan menimpa satu sama lain dan hanya yang paling diperbarui yang akan ditampilkan di repositori Anda (Kecuali jika Anda secara manual memberitahukannya untuk mengambil paket dari X-Swat).

Beberapa AKP mungkin memperbarui beberapa paket Anda ketika Anda menambahkannya ke repositori Anda karena mereka akan menimpa dengan versi mereka sendiri paket tertentu untuk membuat perangkat lunak PPA bekerja pada sistem Anda dengan benar. Ini mungkin beberapa paket kode, versi python, dll. Lainnya seperti PPA LibreOffice akan menghapus semua keberadaan OpenOffice dari sistem Anda untuk menginstal paket LibreOffice di sana. Pada dasarnya, bacalah apa yang telah dikomentari oleh pengguna lain tentang paket tertentu dan baca juga apakah paket tersebut kompatibel dengan versi Ubuntu Anda.

Seperti komentar di bawah ini disarankan oleh Jeremy Bicha, beberapa pendarahan (AKP yang tetap up to date termasuk menambahkan perangkat lunak kualitas Alpha, Beta atau RC dalam PPA) berpotensi merusak seluruh sistem Anda (Dalam kasus terburuk). Jeremy menyebut contoh banyak.


204
2018-04-17 17:57



Apakah ini benar untuk banyak PPA yang perlu Anda instal untuk mendapatkan tema seperti equinox, SD dll? - abel
Iya nih. Ini berlaku untuk setiap PPA. Ingat bahwa PPA itu hanya cara mudah untuk memperbarui program atau kelompok program melalui seseorang yang membawanya ke waktu mereka untuk meningkatkannya. Jadi ini adalah tempat di mana seseorang mendedikasikan waktunya untuk sesuatu yang diperbarui atau kompatibel dengan sistem terbaru / lama. Tapi karena manusia yang melakukannya, mungkin ada kesalahan di jalan. - Luis Alvarado♦
Bagaimana cara mengetahui berapa banyak pengguna yang dimiliki PPA? - damien
Apakah menambahkan PPA memberi para hacker beberapa lubang untuk dilewati? - mathmaniage


Untuk mengembangkan PPA di launchpad, kontributor harus sudah menandatangani kode etik ubuntu. Ini menandakan pengembang harus mematuhi standar minimum.

Biasanya orang kemudian harus berkonsultasi ubuntuforums untuk melihat siapa yang telah menggunakan ppa tertentu dan jika mereka dapat menyebabkan masalah.

Untuk "pemula" atau "noob" - saran terbaik saya adalah menghindari PPA sampai Anda merasa yakin bahwa Anda memahami beberapa hal tentang baris perintah, pesan kesalahan potensial, dan beberapa hal cara mendiagnosis masalah.

Untuk menghapus masalah yang menyebabkan ppa, Anda dapat menggunakan sebagian besar waktu "ppa_purge"

Jika Anda merasa gugup, kemudian pertimbangkan cadangan gambar komputer Anda dengan alat seperti clonezilla. Dengan begitu, jika ada yang salah dan Anda tidak bisa menyelesaikannya, setidaknya Anda memiliki cara cepat untuk mengembalikan komputer Anda kembali seperti semula sebelum Anda mulai bermain.

Setelah mengatakan semua itu, ppa sangat berguna untuk mendapatkan versi terbaru dari perangkat lunak - terutama bagi mereka yang tidak mencoba untuk meng-upgrade setiap 6 bulan dan tetap dengan versi LTS dari ubuntu.


55
2018-04-17 17:27



Saya akan menyukai jawaban Anda di atas hanya untuk saran kepada pemula. :( - Braiam
@fossFreedom: apakah saya menerima pembaruan otomatis jika saya menginstal melalui ppa atau apt-get install utilitas - Rajat Gupta
@ user01 - jika orang yang membuat PPA memperbarui paket dengan versi baru, ya - Anda akan mendapatkan pembaruan secara otomatis jika Anda telah menambahkan PPA pertama kemudian apt-get install package - fossfreedom♦
Tentu saja, pengguna jahat tidak akan dihentikan dengan harus menandatangani kode etik ... - evilsoup
Cadangan tidak akan menyelamatkan Anda dari pencurian digital (mis. PPA jahat yang mengirim cookie browser atau kunci ssh kembali ke rumah). Jika Anda benar-benar merasa gugup, seharusnya aman untuk menginstal dan menjalankan PPA di dalam mesin virtual, wadah atau schroot. - joeytwiddle


Ini bukan hanya masalah malware, seperti yang sudah dikatakan. Ini juga karena beberapa perangkat lunak mungkin masih berada dalam tahap pengujian dan belum siap untuk digunakan dalam produksi. Jika Anda menginstal dan mengandalkannya untuk menyelesaikan pekerjaan, Anda mungkin menemukan bahwa itu adalah buggy, tidak dapat diandalkan, dan dapat crash - meninggalkan Anda tanpa pekerjaan yang telah Anda lakukan.

Beberapa dari itu mungkin juga tidak cocok dengan aspek-aspek lain dari Ubuntu, seperti Unity atau Gnome, menyebabkan masalah yang sulit dilacak, dan mungkin bahkan membuat sistem Anda tidak stabil.

Ini bukan karena perangkat lunaknya buruk, tetapi karena perangkat lunak itu mungkin belum sepenuhnya diuji, atau karena itu tersedia sehingga orang bisa mengujinya, tetapi belum dimaksudkan untuk dirilis secara umum sebagai perangkat lunak produksi. Jadi Anda harus berhati-hati, meskipun beberapa di antaranya benar-benar bagus.

Beberapa bulan yang lalu saya menginstal paket yang direkomendasikan dari PPA tertentu, dan itu menghancurkan sistem saya cukup sehingga saya harus menginstal ulang Ubuntu. Saya adalah pengguna baru dan tidak tahu apa lagi yang harus dilakukan; dengan sedikit lebih banyak pengetahuan saya mungkin bisa memecahkan masalah dan mengembalikannya tanpa melakukan instal ulang (meskipun itu juga berguna bagi saya dalam belajar Ubuntu, tetapi jika saya telah berhasil disimpan di mesin saya, saya akan kehilangan itu) .

Jadi hati-hati, ajukan pertanyaan, buat sering backup (!!!), dan ketahui bahwa malware itu tidak mungkin (meski bukan tidak mungkin).


21
2017-12-01 20:52





Semua kekhawatiran yang didaftar oleh orang lain di sini sangat penting untuk dipahami. Yang mengatakan, karena ini adalah open source, kita dapat mengetahui dengan tepat apa yang telah diubah PPA dari versi paket di Ubuntu. Kami akan menggunakan PPA dari duplikat ini sebagai contoh.

Pertama kita ambil sumbernya dari PPA dget alat yang akan mengunduh semua bagian dari paket sumber Debian yang diberikan tautan ke dsc mengajukan:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Saya menemukan tautan itu dengan mengeklik "Lihat detail paket":

View package details

Lalu:

find dsc file

Selanjutnya, kita akan mendapatkan sumber paket di arsip Ubuntu:

apt-get source unity

Akhirnya, kami akan menggunakan debdiff untuk melihat perbedaan antara sumber dari dua paket:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Output dari perintah itu sekitar tiga ratus garis panjang, jadi saya akan meletakkannya di pastebin bukannya langsung ke jendela. Sekarang, saya tidak dapat menjamin seberapa bagus kode itu karena saya tidak benar-benar tahu C ++, tetapi tampaknya melakukan apa yang diklaimnya dan tidak melakukan sesuatu yang jahat.


17
2018-06-05 14:14



+1, tetapi tautan pastebin Anda rusak. - unforgettableid


PPA adalah folder web yang berisi perangkat lunak yang dapat Anda instal. Itu benar-benar tidak lebih rumit dari itu. Ketika Anda menginstal paket, Anda melakukannya dengan hak akses root dan paket memiliki skrip yang dijalankan, sehingga mereka dijalankan sebagai root. Itu berarti memasang perangkat lunak berbahaya dan Anda harus memercayai pengembang atau distributor.

Arsip yang sesuai, PPA atau lainnya, disurvei secara teratur untuk pembaruan perangkat lunak yang telah Anda instal. "Masalah" dengan itu, adalah bahwa siapa pun dapat memberikan paket perangkat lunak baru yang telah Anda instal. Misalnya, Anda dapat menambahkan PPA untuk mendapatkan tema yang bagus dan pembaruan otomatis dari tema itu. Tetapi setelah Anda menambahkan repositori itu, pemilik dapat menambahkan paket openssh-server yang ditambal, misalnya, dan itu akan muncul sebagai pembaruan di Ubuntu. Ini dapat dilakukan setahun setelah Anda menambahkan AKP, jadi Anda perlu memperhatikan pembaruan.

Sistem PPA mencegah pihak ketiga merusak paket, namun, jadi jika Anda mempercayai pengembang / distributor, maka PPA sangat aman. Misalnya, jika Anda menginstal Google Chrome, maka mereka menambahkan AKP sehingga Anda akan menerima pembaruan otomatis untuk itu. Mereka menambahkan "deb http://dl.google.com/linux/chrome/deb/ stabil ". Jika server DNS yang Anda gunakan diretas ke titik dl.google.com di tempat lain, maka mereka dapat mendorong perangkat lunak tambalan ke semua orang yang telah menginstal Chrome. Tetapi Ubuntu akan menolak menginstalnya karena mereka tidak dapat masuk dengan Googles kunci pribadi Jadi dalam hal itu, AKP sangat aman.

Tidak mungkin untuk mengatakan bahwa PPA aman atau tidak. Itu tergantung pada orang-orang yang menggunakannya untuk mendistribusikan perangkat lunak. Dengan perangkat lunak bebas, orang dapat melihat sumbernya dan melihat apakah aman atau tidak. Ketika banyak orang menggunakan arsip, seperti arsip reguler Ubuntu, maka Anda memiliki peer review. Arsip kecil dengan sedikit pengguna tidak memilikinya, jadi mereka kurang dapat dipercaya. Pelajaran utama adalah bahwa tidak peduli sistem apa yang Anda gunakan, Anda harus berhati-hati saat menginstal perangkat lunak.


13
2017-08-29 18:50





Membangun Jawaban Luis Alvarado, Anda harus menyadari risiko ini:

  • Paket berbahaya—Kemasan mungkin mencoba menyakiti Anda. Ini mudah bagi mereka karena mereka dapat menjalankan kode apa pun dengan hak akses administratif.
  • Perangkat lunak berkualitas buruk atau tidak kompatibel—Aplikasi mungkin tidak berfungsi dengan baik. Ini mungkin secara tidak sengaja menyebabkan kerusakan dengan, misalnya, mengganggu perangkat lunak lain, menghancurkan data Anda, atau membocorkan informasi pribadi.

dan Anda harus memperhatikan faktor-faktor ini:

  • Kejujuran dari pihak pengelola—Mungkin pengelola diam-diam mencoba menyakitimu?
  • Keamanan dari pengelola—Apakah pengelola rentan untuk diserang oleh pihak ketiga?
  • Kehandalan pengelola—Apakah pengelola akan menanggapi kebutuhan pembaruan dalam jangka waktu yang wajar? Apakah mereka berkomitmen untuk mempertahankan PPA dalam jangka panjang?
  • Keamanan repositori—Apakah paket ditandatangani oleh pengelola?
  • Kinerja perangkat lunak—Apakah perangkat lunak bebas bug dan kompatibel dengan sistem Anda?

12
2017-11-06 17:48





Paket-paket di PPA tidak diperiksa untuk hal-hal seperti malware. Jadi sementara seseorang mungkin mengemas sesuatu seperti XBMC untuk Anda, mereka bisa dengan mudah juga menambahkan beberapa spyware / malware juga. Inilah sebabnya mengapa Anda tidak perlu menambahkan PPA acak.


8
2017-12-01 20:16



bisakah Anda mengatakan apa tepatnya XMBC, saya cukup baru - kernel_panic
XBMC adalah perangkat lunak pusat media. Ini adalah perangkat lunak yang baik dan aman. Ia hanya menggunakannya sebagai contoh, bisa berupa perangkat lunak apa pun. - Anonymous
apa yang bisa dilakukan malware di ubuntu, harus meminta izin untuk apa saja dan semuanya kan? - kernel_panic
Setelah Anda menginstalnya (yaitu memberikan izin root untuk menyalin file ke direktori sistem dan menjalankan skrip kustom), ia dapat melakukan apa pun yang diinginkannya dengan sistem. Itulah mengapa penting untuk menginstal paket dari sumber tepercaya. - arrange
Salah. Saat Anda memasang perangkat lunak, Anda adalah root saat melakukannya. Lebih mudah untuk mengambil izin itu dan mulai melakukan hal-hal buruk. - tgm4883


Ketika Anda menambahkan ppa dan menginstal program melalui itu.

Pada dasarnya Anda memberi izin untuk menempatkan program itu di area eksekusi yang diizinkan (/ bin / / sbin / / usr / bin /).

Sekarang jika program itu sendiri / entah bagaimana malware maka sistem tidak akan mengeluh tentang hal itu karena Anda adalah orang yang menambahkan ppa mengingat dapat dipercaya.

Ketika program berasal dari repositori Ubuntu mereka pertama kali diperiksa (saya ingin mengatakan secara menyeluruh tetapi saya tidak tahu: P) sehingga mereka dari repositori Ubuntu bebas dari malware / spywares pasti.

Untuk ppa lain apa pun untuk Anda / pengguna untuk memutuskan apakah memercayai atau tidak.


3
2017-12-01 20:22



apa yang bisa dilakukan malware di ubuntu, harus meminta izin untuk apa saja dan semuanya kan? - kernel_panic
Ketika Anda menginstal perangkat lunak itu akan meminta izin root (layar gelap dan Anda memasukkan kata sandi Anda). Pada titik ini bisa dilakukan apa pun: hapus semuanya dari kotak Anda, pasang keylogger, ubah latar belakang desktop Anda ke hello kitty, apa pun. - SCdF
owh !!!! Terima kasih banyak!!!!!!!!!!!!!!!!!!!!!!!! - kernel_panic
@sanjayasanjuubuntu: ketika menginstalnya meminta izin untuk berada di area yang dapat dieksekusi, setelah itu ada dapat mengakses informasi non-su dengan mudah. Ada program yang membutuhkan izin untuk mengeksekusi namun jika program itu sendiri memiliki bagasi ekstra (baca malware) yang ditambahkan saat pengemasan, itu dapat dijalankan tanpa masalah saat Anda mengetikkan kata sandi Anda. - wisemonkey
Dev PPA adalah rute teraman dan juga perlu melihat durasi kontributor di Launchpad. Faktor-faktor ini menjamin sistem yang aman dan stabil menggunakan AKP untuk program terbaru. Saya telah menemukan rute ini untuk menjaga LTS saya berjalan lama dengan program versi baru tertentu yang saya gunakan. - Arup Roy Chowdhury