Apakah PPA aman untuk ditambahkan ke sistem saya dan "bendera merah" apa yang harus diperhatikan?

301

Saya melihat banyak program menarik di luar sana yang hanya dapat diperoleh dengan menambahkan "PPA" ke dalam sistem, tetapi, jika saya mengerti dengan benar, kita harus tetap berada dalam "repositori" resmi untuk menambahkan perangkat lunak ke sistem kami.

Apakah ada cara bagi seorang pemula untuk mengetahui apakah "PPA" aman atau jika harus dihindari? Kiat apa yang harus diketahui pengguna saat berhadapan dengan PPA ?.

rampok
sumber
2
Lihat juga: askubuntu.com/questions/7662/…
Mekanik keong
Anda dapat memeriksa apakah ada snappypaket yang tersedia juga. Mereka cenderung dibatasi oleh aturan keamanan. Anda harus secara eksplisit memberikan izin tertentu kepada beberapa terkunci, meskipun masalah umumnya sama (Anda perlu mempercayai penerbit).
Ken Sharp

Jawaban:

213

PPA ( Personal Package Archive ) digunakan untuk memasukkan perangkat lunak tertentu ke Ubuntu Anda, Kubuntu atau distro lain yang kompatibel dengan PPA. " Keamanan " dari PPA sebagian besar tergantung pada 3 hal:

  1. Siapa yang membuat PPA - PPA resmi dari WINE atau LibreOffice seperti ppa: libreoffice / ppa dan PPA yang saya buat sendiri tidak sama. Anda tidak mengenal saya sebagai pengelola PPA, sehingga masalah kepercayaan dan keamanan SANGAT rendah bagi saya (Karena saya bisa saja membuat paket yang rusak, paket yang tidak kompatibel atau apa pun yang buruk), tetapi untuk LibreOffice dan PPA yang mereka tawarkan di situs web mereka , ITU memberikan jaring pengaman tertentu untuk itu. Jadi tergantung pada siapa yang membuat PPA, berapa lama dia telah membuat dan memelihara PPA akan mempengaruhi sedikit pada seberapa aman PPA untuk Anda. PPA seperti yang disebutkan di atas dalam komentar tidak disertifikasi oleh Canonical.

  2. Berapa banyak pengguna yang menggunakan PPA - Sebagai contoh, saya memiliki PPA dari http://winehq.org di PPA pribadi saya. Apakah Anda mempercayai SAYA dengan 10 pengguna yang mengonfirmasi menggunakan PPA saya yang memiliki 6 dari mereka mengatakan itu menyebalkan daripada yang ditawarkan Scott Ritchie sebagai ppa: ubuntu-wine / ppa di situs resmi winehq. Ia memiliki ribuan pengguna (termasuk saya) yang menggunakan PPA-nya dan memercayai pekerjaannya. Ini adalah pekerjaan yang memiliki beberapa tahun di belakangnya.

  3. Seberapa diperbarui PPA itu - Katakanlah Anda menggunakan Ubuntu 10.04 atau 10.10, dan Anda ingin menggunakan PPA khusus itu. Anda mengetahui bahwa pembaruan terakhir untuk PPA itu adalah 20 tahun yang lalu .. Oo Peluang yang Anda miliki untuk menggunakan PPA itu nol. Mengapa?. Karena dependensi paket yang diperlukan PPA sudah sangat lama dan mungkin yang diperbarui mengubah begitu banyak kode sehingga mereka tidak akan bekerja dengan PPA dan mungkin merusak sistem Anda jika Anda menginstal paket PPA yang mana saja ke sistem Anda.

    Bagaimana pembaruan PPA memengaruhi keputusan untuk menggunakannya jika dia ingin menggunakan PPA ITU. Jika tidak, mereka lebih suka mencari yang baru lagi. Anda tidak ingin Banshee 0.1 atau Wine 0.0.0.1 atau OpenOffice 0.1 Beta Alpha Omega Thundercat Edition dengan Ubuntu terbaru. Yang Anda inginkan adalah PPA yang diperbarui ke Ubuntu Anda saat ini. Ingat bahwa PPA menyebutkan untuk apa versi Ubuntu dibuat atau beberapa versi Ubuntu dibuat.

    Sebagai contohnya di sini adalah gambar dari versi yang didukung dalam Wine PPA:

    masukkan deskripsi gambar di sini

    Di sini Anda dapat melihat bahwa PPA ini didukung sejak Dinosaurus.

    Satu hal yang BAD tentang seberapa diperbarui PPA adalah, jika pengelola PPA cenderung mendorong ke PPA versi terbaru, terbaik dan mutakhir dari paket tertentu. Sisi buruknya adalah jika Anda akan menguji sesuatu yang terbaru, Anda akan menemukan beberapa bug. Cobalah untuk tetap dengan PPA yang diperbarui ke versi stabil dan bukan versi yang tidak stabil, pengujian atau dev karena mungkin / akan mengandung bug. Gagasan memiliki yang terbaru juga untuk TEST dan mengatakan masalah apa yang ditemukan dan menyelesaikannya. Contohnya adalah PPA Xorg harian dan PPA Mozilla Harian. Anda akan mendapatkan sekitar 3 pembaruan harian untuk X.org atau Firefox jika Anda mendapatkan harian. Ini karena pekerjaan yang dilakukan di sana dan jika Anda menggunakan AKP harian mereka itu berarti Anda ingin membantu dengan perburuan bug atau pengembangan dan BUKAN untuk lingkungan produksi.

Pada dasarnya tetap dengan 3 ini dan Anda akan aman. Selalu mencari pembuat / pengelola PPA. Selalu lihat apakah banyak pengguna telah menggunakannya dan selalu melihat seberapa diperbarui PPA. Tempat-tempat seperti OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 dan bahkan di sini di AskUbuntu adalah sumber yang baik untuk menemukan banyak pengguna dan artikel yang berbicara tentang dan merekomendasikan beberapa PPA yang telah mereka uji.

Contoh PPA yang stabil - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC adalah PPA yang baik dan aman dari pengalaman MY.

PPA Semi Stable - PPA X-Swat adalah PPA tengah antara tepi yang berdarah dan stabil.

PPA Bleeding Edge - Xorg-Edgers adalah PPA tepi pendarahan meskipun saya harus menyebutkan bahwa setelah 12,04, PPA ini menjadi lebih dan lebih stabil. Saya masih akan menandainya sebagai ujung pendarahan tetapi cukup stabil untuk pengguna akhir.

Dipilih PPA - Handbrake menawarkan sini cara bagi pengguna untuk memilih, apakah Anda ingin versi stabil atau Anda ingin tepi pendarahan (Juga disebut sebagai Snapshot) versi. Dalam hal ini Anda dapat memilih apa yang ingin Anda gunakan.

Perhatikan bahwa dalam kasus menggunakan misalnya ppa X-Swat dengan PPA Xorg-Edgers, Anda akan mendapatkan campuran antara keduanya (Dengan prioritas terhadap Xorg-Edgers). Ini karena keduanya berusaha untuk memasukkan paket yang hampir sama, sehingga mereka akan saling menimpa dan hanya yang paling baru akan ditampilkan di repositori Anda (Kecuali jika Anda secara manual mengatakannya untuk mengambil paket dari X-Swat).

Beberapa PPA mungkin memperbarui beberapa paket Anda ketika Anda menambahkannya ke repositori Anda karena mereka akan menimpa dengan versi mereka sendiri paket tertentu untuk membuat perangkat lunak PPA bekerja pada sistem Anda dengan benar. Ini mungkin beberapa paket kode, versi python, dll. Lainnya seperti LibreOffice PPA akan menghapus semua keberadaan OpenOffice dari sistem Anda untuk menginstal paket LibreOffice di sana. Pada dasarnya baca apa yang dikomentari pengguna lain tentang paket tertentu dan baca juga apakah paket tersebut kompatibel dengan versi Ubuntu Anda.

Seperti yang dikomentari oleh Jeremy Bicha, beberapa pendarahan tepi (PPA yang sangat terkini termasuk menambahkan perangkat lunak kualitas Alpha, Beta atau RC di PPA) berpotensi merusak seluruh sistem Anda (Dalam kasus terburuk). Jeremy menyebutkan contoh banyak orang.

Luis Alvarado
sumber
Apakah ini benar untuk banyak PPA yang perlu Anda instal untuk mendapatkan tema seperti equinox, SD, dll?
abel
2
Iya. Ini berlaku untuk AKP apa pun. Ingatlah bahwa PPA hanyalah cara mudah untuk memperbarui program atau sekelompok program melalui seseorang yang memerlukan waktu untuk memperbaruinya. Jadi itu adalah tempat di mana seseorang mendedikasikan waktunya untuk sesuatu untuk diperbarui atau kompatibel dengan sistem terbaru / lama. Tetapi karena itu adalah manusia yang melakukannya, mungkin ada kesalahan di jalan.
Luis Alvarado
14
Bagaimana seseorang menemukan berapa banyak pengguna yang dimiliki PPA?
damien
Apakah menambahkan PPA memberi hacker beberapa celah untuk dilewati?
mathmaniage
@mathmaniage Kode sumber harus diunggah dan dibangun oleh sistem, sehingga kode sumber tersedia untuk diperiksa kapan saja.
Ken Sharp
56

Untuk mengembangkan PPA di launchpad, kontributor harus menandatangani kode etik ubuntu . Ini menandakan pengembang harus mematuhi serangkaian standar minimum.

Biasanya orang kemudian harus berkonsultasi dengan ubuntuforums untuk melihat siapa yang telah menggunakan ppa tertentu dan jika mereka dapat menyebabkan masalah.

Untuk "pemula" atau "pemula" - saran terbaik saya adalah menghindari PPA sampai Anda merasa yakin bahwa Anda memahami beberapa hal tentang baris perintah, pesan kesalahan potensial dan beberapa hal cara mendiagnosis masalah.

Untuk menghapus masalah yang menyebabkan ppa, Anda sebagian besar dapat menggunakan " ppa_purge "

Jika Anda merasa gugup, pertimbangkan cadangan gambar komputer Anda dengan alat seperti clonezilla . Dengan begitu, jika ada yang salah dan Anda tidak dapat menyelesaikannya, setidaknya Anda memiliki cara cepat untuk mengembalikan komputer Anda seperti semula sebelum Anda mulai bermain.

Setelah mengatakan semua itu, ppa sangat berguna untuk mendapatkan versi terbaru dari perangkat lunak - terutama bagi mereka yang tidak mencoba memperbarui setiap 6 bulan dan tetap menggunakan versi LTS dari ubuntu.

kebebasan fosil
sumber
1
Saya akan senang jawaban Anda di bagian atas hanya untuk saran untuk pemula. :(
Braiam
@fossFreedom: saya menerima pembaruan otomatis jika saya menginstal melalui ppa atau apt-get installutilitas
Rajat Gupta
1
@ user01 - jika orang yang membuat PPA memperbarui paket dengan versi baru, ya - Anda akan mendapatkan pembaruan secara otomatis jika Anda telah menambahkan PPA pertama saat ituapt-get install package
fossfreedom
2
Tentu saja, pengguna jahat tidak akan berhenti dengan harus menandatangani kode perilaku ...
evilsoup
Pencadangan tidak akan menyelamatkan Anda dari pencurian digital (mis., PPA jahat yang mengirim cookie browser Anda atau kunci ssh kembali ke rumah). Jika Anda benar-benar merasa gugup, Anda harus menginstal dan menjalankan PPA di dalam mesin, wadah, atau schroot virtual .
joeytwiddle
21

Ini bukan hanya masalah malware, seperti yang telah dikatakan. Beberapa perangkat lunak mungkin masih dalam tahap pengujian dan belum siap digunakan untuk produksi. Jika Anda menginstalnya dan mengandalkannya untuk menyelesaikan pekerjaan, Anda mungkin mendapati bahwa itu buggy, tidak dapat diandalkan, dan dapat macet - meninggalkan Anda tanpa pekerjaan yang telah Anda lakukan.

Beberapa di antaranya mungkin juga tidak cocok dengan aspek-aspek lain dari Ubuntu, seperti Unity atau Gnome, menyebabkan masalah yang sulit dilacak, dan bahkan mungkin membuat sistem Anda tidak stabil.

Ini bukan karena perangkat lunaknya buruk, tetapi karena mungkin belum sepenuhnya diuji, atau karena itu tersedia sehingga orang dapat mengujinya, tetapi belum dimaksudkan untuk secara umum dirilis sebagai perangkat lunak produksi. Jadi, Anda harus berhati-hati, meskipun beberapa di antaranya benar-benar bagus.

Beberapa bulan yang lalu saya menginstal paket yang direkomendasikan dari PPA tertentu, dan itu menghancurkan sistem saya sehingga saya harus menginstal ulang Ubuntu. Saya adalah pengguna baru dan tidak tahu harus berbuat apa lagi; dengan sedikit lebih banyak pengetahuan, saya mungkin bisa menyelesaikan masalah dan mengembalikannya tanpa melakukan instal ulang (walaupun itu juga berguna bagi saya dalam mempelajari Ubuntu, tetapi jika saya berhasil menyimpannya di komputer saya, saya akan kehilangan itu) .

Jadi berhati-hatilah, ajukan pertanyaan, sering buat cadangan (!!!), dan ketahuilah bahwa malware tidak mungkin (meskipun bukan tidak mungkin).

Kelley
sumber
19

Semua masalah yang didaftar oleh orang lain di sini sangat penting untuk dipahami. Karena itu, karena ini adalah open source, kami dapat mengetahui dengan pasti apa yang telah berubah dari PPA dari versi paket di Ubuntu. Kami akan menggunakan PPA dari duplikat ini sebagai contoh.

Pertama kita akan mengambil sumber dari PPA dgetalat yang akan mengunduh semua bagian dari paket sumber Debian yang diberi tautan ke dscfile:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Saya menemukan tautan itu dengan mengklik "Lihat detail paket":

Lihat detail paket

Lalu:

temukan file dsc

Selanjutnya, kita akan mendapatkan sumber paket di arsip Ubuntu:

apt-get source unity

Terakhir, kami akan gunakan debdiffuntuk melihat perbedaan antara sumber kedua paket:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Output dari perintah itu sekitar tiga ratus baris, jadi saya akan meletakkannya di pastebin bukannya langsung ke jendela. Sekarang, saya tidak dapat menjamin seberapa baik kodenya karena saya tidak benar-benar tahu C ++, tetapi sepertinya melakukan apa yang diklaim dan bukan sesuatu yang berbahaya.

andrewsomething
sumber
1
+1, tetapi tautan pastebin Anda rusak.
tak terlupakan
Ini adalah contoh yang bagus tentang cara memeriksa apa yang telah dilakukan dengan paket PPA. Tautan ke pastebin sama sekali tidak relevan. +1
Ken Sharp
13

PPA adalah folder web yang berisi perangkat lunak yang dapat Anda instal. Sebenarnya tidak jauh lebih rumit dari itu. Ketika Anda menginstal paket, Anda melakukannya dengan hak akses root dan paket memiliki skrip yang dijalankan, sehingga dijalankan sebagai root. Itu berarti menginstal perangkat lunak apa pun berbahaya dan Anda perlu mempercayai pengembang atau distributor.

Arsip yang tepat, PPA atau lainnya, disurvei secara teratur untuk pembaruan perangkat lunak yang telah Anda instal. "Masalahnya" adalah bahwa siapa pun dapat menyediakan paket perangkat lunak yang lebih baru yang telah Anda instal. Misalnya, Anda dapat menambahkan PPA untuk mendapatkan tema yang bagus dan pembaruan otomatis dari tema itu. Tetapi begitu Anda telah menambahkan repositori itu, pemiliknya dapat menambahkan paket openssh-server yang ditambal, misalnya, dan itu akan muncul sebagai pembaruan di Ubuntu. Ini bisa dilakukan setahun setelah Anda menambahkan PPA, jadi Anda perlu memperhatikan pembaruan.

Sistem PPA memang mencegah pihak ketiga dari merusak paket, jadi, jika Anda percaya pengembang / distributor, maka PPA sangat aman. Misalnya, jika Anda menginstal Google Chrome, mereka menambahkan PPA sehingga Anda akan menerima pembaruan otomatis untuk itu. Mereka menambahkan "deb http://dl.google.com/linux/chrome/deb/ stable utama". Jika server DNS yang Anda gunakan diretas untuk mengarahkan dl.google.com di tempat lain, maka mereka dapat mendorong perangkat lunak yang ditambal ke semua orang yang telah menginstal Chrome. Tetapi Ubuntu akan menolak untuk menginstalnya karena mereka tidak dapat ditandatangani dengan kunci pribadi Googles. Jadi dalam hal itu, PPA sangat aman.

Tidak mungkin mengatakan bahwa PPA aman atau tidak. Itu tergantung pada orang yang menggunakannya untuk mendistribusikan perangkat lunak. Dengan perangkat lunak gratis, orang dapat melihat sumbernya dan melihat apakah itu aman atau tidak. Ketika banyak orang menggunakan arsip, seperti arsip reguler Ubuntu, maka Anda memiliki peer review. Arsip kecil dengan sedikit pengguna tidak memiliki itu, sehingga mereka kurang dapat dipercaya. Pelajaran utama adalah bahwa apa pun sistem yang Anda gunakan, Anda harus berhati-hati saat menginstal perangkat lunak.

Jo-Erlend Schinstad
sumber
11

Berdasarkan jawaban Luis Alvarado , Anda harus menyadari risiko ini:

  • Paket berbahaya — Paket mungkin mencoba membahayakan Anda. Ini mudah bagi mereka karena mereka dapat menjalankan kode apa pun dengan hak administratif.
  • Kualitas buruk atau perangkat lunak yang tidak kompatibel — Aplikasi mungkin tidak berfungsi dengan baik. Ini dapat secara tidak sengaja menyebabkan kerusakan dengan, misalnya, mengganggu perangkat lunak lain, menghancurkan data Anda, atau membocorkan informasi pribadi.

dan Anda harus memperhatikan faktor-faktor ini:

  • Kejujuran sang pengelola — Mungkinkah si pengelola diam-diam mencoba melukai Anda?
  • Keamanan pengelola — Apakah pengelola rentan terhadap serangan oleh pihak ketiga?
  • Keandalan pengelola — Akankah pengelola menanggapi kebutuhan untuk pembaruan dalam jangka waktu yang masuk akal? Apakah mereka berkomitmen untuk mempertahankan AKP dalam jangka panjang?
  • Keamanan repositori —Apakah paket ditandatangani oleh pengelola?
  • Kinerja perangkat lunak —Apakah perangkat lunak ini bebas bug dan kompatibel dengan sistem Anda?
ændrük
sumber
8

Paket-paket pada PPA tidak diperiksa untuk hal-hal seperti malware. Jadi, sementara seseorang mungkin mengemas sesuatu seperti XBMC untuk Anda, mereka dapat dengan mudah juga menambahkan beberapa spyware / malware juga. Inilah sebabnya mengapa Anda tidak harus hanya menambahkan PPA acak.

tgm4883
sumber
dapatkah Anda mengatakan apa sebenarnya XMBC, saya ubu cukup baru
kernel_panic
XBMC adalah perangkat lunak pusat media. Ini adalah perangkat lunak yang baik dan aman. Dia hanya menggunakannya sebagai contoh, bisa jadi perangkat lunak apa saja.
Anonim
apa yang bisa dilakukan malware di ubuntu, ia harus meminta izin untuk apa saja dan segalanya dengan benar?
kernel_panic
Setelah Anda menginstalnya (yaitu memberikan izin root untuk menyalin file-nya ke direktori sistem dan menjalankan skrip khusus) ia dapat melakukan apa saja yang diinginkan dengan sistem. Itu sebabnya penting untuk menginstal paket dari sumber tepercaya.
atur
Salah. Saat Anda menginstal perangkat lunak, Anda melakukan root saat melakukannya. Agak mudah untuk mengambil izin itu dan mulai melakukan hal-hal buruk.
tgm4883
3

Ketika Anda menambahkan ppa dan menginstal program melalui itu.

Pada dasarnya Anda memberikan izin untuk tinggal di program tersebut di area yang dapat dieksekusi yang diizinkan (/ bin / / sbin / / usr / bin /).

Sekarang jika program itu sendiri / entah bagaimana memiliki malware maka sistem tidak akan mengeluh tentang hal itu karena Anda adalah orang yang menambahkan ppa mengingat itu dapat dipercaya.

Ketika program berasal dari repositori Ubuntu, mereka pertama kali diperiksa (saya ingin mengatakan secara menyeluruh tetapi saya tidak tahu: P) sehingga yang dari repositori Ubuntu bebas dari malware / spywares.

Untuk ppa lain terserah Anda / pengguna untuk memutuskan apakah akan percaya atau tidak.

wisemonkey
sumber
apa yang bisa dilakukan malware di ubuntu, ia harus meminta izin untuk apa saja dan segalanya dengan benar?
kernel_panic
6
Ketika Anda menginstal perangkat lunak itu akan meminta izin root (layar menjadi gelap dan Anda memasukkan kata sandi Anda). Pada tahap ini, ia dapat melakukan apa saja : hapus semuanya dari komputer Anda, instal keylogger, ubah latar belakang desktop Anda menjadi hello kitty, apa saja .
SCdF
1
@sanjayasanjuubuntu: ketika menginstalnya meminta izin untuk berada di area yang dapat dieksekusi, begitu ada, ia dapat mengakses informasi non-su dengan mudah. Ada beberapa program yang memerlukan izin untuk dieksekusi, tetapi jika program itu sendiri memiliki bagasi tambahan (baca malware) yang ditambahkan saat pengemasan, ia dapat mengeksekusi tanpa masalah ketika Anda mengetikkan kata sandi Anda.
wisemonkey
PPA Dev adalah rute teraman dan juga perlu melihat durasi kontributor di Launchpad. Faktor-faktor ini menjamin sistem yang aman dan stabil menggunakan AKP untuk program terbaru. Saya telah menemukan rute ini untuk menjaga LTS saya berjalan lama dengan versi baru program yang saya gunakan.
Arup Roy Chowdhury