¿Es seguro agregar PPA a mi sistema y cuáles son algunas de las "banderas rojas" de las que debo estar pendiente?

281

Veo muchos programas interesantes que solo se pueden obtener agregando un "PPA" al sistema pero, si estoy entendiendo correctamente, deberíamos permanecer dentro de los "repositorios" oficiales para agregar software a nuestro sistema .

¿Hay alguna forma para que un novato sepa si un "PPA" es seguro o si debe evitarse? ¿Qué consejos debe saber el usuario cuando se trata de un PPA?.

    
pregunta Rob 17.04.2011 - 18:31

8 respuestas

203

El PPA ( Archivo de paquetes personales ) se usa para incluir un software específico para su Ubuntu, Kubuntu o cualquier otro PPA compatible. distro La " seguridad " de un PPA depende principalmente de 3 cosas:

  1. Quién hizo el PPA : un PPA oficial de WINE o LibreOffice como ppa: libreoffice / ppa y un PPA que yo mismo creé no son lo mismo. No me conoce como mantenedor de PPA, por lo que el problema de confianza y seguridad es MUY bajo para mí (ya que podría haber hecho un paquete dañado, incompatible o cualquier otra cosa mala), pero para LibreOffice y PPA lo ofrecen en su sitio web , Eso le da una cierta red de seguridad. Entonces, dependiendo de quién hizo el PPA, cuánto tiempo ha estado haciendo y manteniendo el PPA influirá un poco en cuán seguro es el PPA para usted. Los PPA mencionados anteriormente en los comentarios no están certificados por Canonical.

  2. Cuantos usuarios han usado el PPA - Por ejemplo, tengo un PPA de enlace en mi PPA personal ¿Confías en mí con 10 usuarios que confirman que utilizo mi PPA y 6 de ellos dicen que apesta, y que el que Scott Ritchie ofrece como ppa: ubuntu-wine / ppa en el sitio web oficial de winehq? Tiene miles de usuarios (incluido yo) que usan su PPA y confían en su trabajo. Este es un trabajo que tiene varios años de retraso.

  3. Cuán actualizado está el PPA : digamos que está usando Ubuntu 10.04 o 10.10, y desea usar ESE PPA especial. Descubres que la última actualización de ese PPA fue hace 20 años. O.o. Las posibilidades que tiene de usar THAT PPA son nulas. ¿Por qué?. Debido a que las dependencias del paquete que PPA necesita son muy antiguas y quizás las actualizadas cambien tanto código que no funcionarán con el PPA y posiblemente rompan su sistema si instala cualquiera de los paquetes de ese PPA en su sistema.

    La actualización de un PPA influye en la decisión de usarlo si quiere usar THAT PPA. Si no, preferirían ir a buscar otro más actualizado. No desea Banshee 0.1 o Wine 0.0.0.1 u OpenOffice 0.1 Beta Alpha Omega Thundercat Edition con la última versión de Ubuntu. Lo que quiere es un PPA que se actualice a su Ubuntu actual. Recuerde que un PPA menciona para qué versión de Ubuntu está hecho o para el que se crearon varias versiones de Ubuntu.

    Como ejemplo de esto, aquí hay una imagen de las versiones que son compatibles con Wine PPA:

    Aquí puede ver que este PPA es compatible desde Dinosaurs.

    Una MALA cuestión acerca de qué tan actualizado es un PPA, si el mantenedor de PPA tiende a introducir en el PPA la versión más reciente, más novedosa y de vanguardia de un paquete específico. La desventaja de esto es que si vas a probar lo último de algo, vas a encontrar algunos errores. Intente seguir con los PPA que se actualizan a una versión estable y no a una versión inestable, de prueba o de desarrollo, ya que podría / contendrá errores. La idea de tener lo último también es PROBAR y decir qué problemas se encontraron y resolverlos. Un ejemplo de esto son los PPA diarios de Xorg y las PPA diarias de Mozilla. Obtendrá aproximadamente 3 actualizaciones diarias para X.org o Firefox si obtiene los diarios. Esto se debe al trabajo que realizan y si usan sus PPA diarias, significa que quieren ayudar con la búsqueda o el desarrollo de errores y NO para un entorno de producción.

Básicamente mantente con este 3 y estarás a salvo. Siempre busque el fabricante / mantenedor del PPA. Siempre vea si muchos usuarios lo han usado y siempre vea qué tan actualizado está el PPA. Lugares como OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 e incluso aquí en AskUbuntu son buenas fuentes para encontrar a muchos usuarios y artículos hablando y recomendando algunos PPA que han probado.

Ejemplos de PPA estable - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC son buenos y seguros PPA de MI experiencia.

PPA semi estable : el PPA X-Swat es un PPA intermedio entre el borde sangrante y estable.

PPA de Bleeding Edge : Xorg-Edgers es un PPA de última generación, aunque debo mencionar que después del 12.04, este PPA se ha vuelto más y más estable. Todavía lo marcaría como un límite, pero es lo suficientemente estable para los usuarios finales.

PPA seleccionable : Handbrake ofrece aquí una forma de que el usuario elija, ¿quiere un establo? versión o ¿quieres la versión de borde sangrado (también referido como instantánea). En este caso, puede seleccionar lo que quiere usar.

Tenga en cuenta que en el caso de utilizar, por ejemplo, el X-Swat ppa con el PPA de Xorg-Edgers, obtendrá una mezcla entre los dos (con prioridad hacia Xorg-Edgers). Esto se debe a que ambos intentan incluir casi los mismos paquetes, por lo que se sobrescribirán entre sí y solo se mostrará el más actualizado en sus repositorios (excepto si se le indica manualmente que capture el paquete de X-Swat).

Algunos PPA pueden actualizar algunos de sus paquetes cuando los agrega a su repositorio porque sobrescribirán con su propia versión un determinado paquete para que el software PPA funcione correctamente en su sistema. Puede tratarse de algunos paquetes de códigos, versiones de Python, etc. Otros, como el PPA de LibreOffice, eliminarán toda la existencia de OpenOffice de su sistema para instalar allí los paquetes de LibreOffice. Básicamente, lea lo que otros usuarios han comentado sobre un paquete específico y también lea si el paquete es compatible con su versión de Ubuntu.

Como Jeremy Bicha sugiere a continuación, algunas ventajas (PPA que permanecen muy actualizadas, incluida la adición de software de calidad Alpha, Beta o RC en el PPA) podrían dañar todo el sistema (en el peor de los casos). Jeremy menciona un ejemplo de muchos.

    
respondido por el Luis Alvarado 17.04.2011 - 19:57
55

Para desarrollar PPA en launchpad, el colaborador debe haber firmado el código de conducta ubuntu . Esto significa que el desarrollador debe cumplir con un conjunto mínimo de estándares.

Por lo general, las personas deben consultar los ubuntuforums para ver quién ha usado ppa en particular y si pueden causar problemas.

Para un "novato" o "novato": mi mejor consejo es mantenerse alejado de los PPA hasta que confíe en que comprende algunas cosas sobre la línea de comandos, posibles mensajes de error y algunas cosas sobre cómo diagnosticar problemas. / p>

Para eliminar los problemas que causan ppa, puede usar la mayoría de las veces " ppa_purge "

Si te sientes nervioso, considera una copia de seguridad de imagen de tu computadora con una herramienta como clonezilla . De esa forma, si las cosas van mal y no puedes resolverlo, al menos tienes un medio rápido para restablecer tu computadora a como estaba antes de que comenzaras a jugar.

Dicho todo esto, los ppa son extremadamente útiles para obtener las últimas versiones de software, especialmente para aquellos que no intentan actualizarse cada 6 meses y se quedan con la versión LTS de ubuntu.

    
respondido por el fossfreedom 17.04.2011 - 19:27
21

No es solo una cuestión de malware, como ya se ha dicho. También es posible que parte del software aún esté en la etapa de prueba y no esté listo para su uso en producción. Si lo instala y confía en él para realizar su trabajo, es posible que tenga fallas, que no sea confiable y que pueda fallar, dejándolo sin el trabajo que ha realizado.

Es posible que algunos de ellos no se lleven bien con otros aspectos de Ubuntu, como Unity o Gnome, que causan problemas que son difíciles de rastrear y que incluso pueden hacer que su sistema sea inestable.

Esto no se debe a que el software sea malo, sino porque tal vez aún no se haya probado completamente o porque esté disponible para que las personas puedan probarlo, pero que todavía no se haya lanzado como software de producción. Por lo tanto, debe tener precaución, aunque una parte es bastante buena.

Hace varios meses instalé un paquete recomendado de un PPA particular, y destrozó mi sistema lo suficiente como para reinstalar Ubuntu. Era un usuario nuevo y no sabía qué más hacer; con un poco más de conocimiento podría haber sido capaz de resolver el problema y restaurarlo sin hacer una reinstalación (aunque eso también me fue útil para aprender Ubuntu, pero si hubiera trabajado guardado en mi máquina, lo habría perdido) .

Tenga cuidado, haga preguntas, realice frecuentes copias de seguridad (!!!) y sepa que el malware es poco probable (aunque no imposible).

    
respondido por el Kelley 01.12.2011 - 21:52
17

Todas las inquietudes enumeradas por otros aquí son extremadamente importantes de entender. Dicho esto, dado que se trata de código abierto, podemos decir exactamente qué ha cambiado el PPA de la versión del paquete en Ubuntu. Usaremos el PPA de este duplicado como un ejemplo.

Primero tomaremos la fuente de la herramienta PPA dget a que descargará todas las piezas de un paquete fuente Debian dado un enlace al archivo dsc :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Encontré ese enlace haciendo clic en "Ver detalles del paquete":

Y luego:

A continuación, obtendremos el origen del paquete en el archivo de Ubuntu:

apt-get source unity

Finalmente, usaremos debdiff para ver las diferencias entre el origen de los dos paquetes:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

El resultado de ese comando es de aproximadamente trescientas líneas, así que lo pondré en un pastebin en lugar de directamente en la ventana. Ahora, no puedo garantizar lo bueno que es el código, ya que realmente no conozco C ++, pero parece estar haciendo lo que dice y nada malicioso.

    
respondido por el andrewsomething 05.06.2012 - 16:14
13

Un PPA es una carpeta web que contiene software que puede instalar. Realmente no es mucho más complicado que eso. Cuando instala un paquete, lo hace con privilegios de administrador y el paquete tiene scripts que se ejecutan, por lo que se ejecutan como root. Eso significa que instalar cualquier software es peligroso y es necesario que confíe en el desarrollador o distribuidor.

Un archivo apt, PPA u otro, se sondea regularmente para las actualizaciones del software que ha instalado. El "problema" con eso, es que cualquiera puede proporcionar un paquete de software más nuevo que haya instalado. Por ejemplo, puede agregar un PPA para obtener un buen tema y actualizaciones automáticas de ese tema. Pero una vez que haya agregado ese repositorio, el propietario puede agregar un paquete parcheado openssh-server, por ejemplo, y aparecerá como una actualización en Ubuntu. Esto se puede hacer un año después de que agregó el PPA, por lo que debe prestar atención a las actualizaciones.

Sin embargo, el sistema PPA evita que terceros manipulen los paquetes, de modo que si confía en el desarrollador / distribuidor, entonces los PPA son muy seguros. Por ejemplo, si instala Google Chrome, entonces agregan un PPA para que reciba actualizaciones automáticas. Agregan "deb enlace principal estable". Si el servidor DNS que usas está pirateado para apuntar a dl.google.com en otro lugar, entonces pueden enviar el programa parcheado a todos los que hayan instalado Chrome. Pero Ubuntu se rehusaría a instalarlos ya que no se podían firmar con la clave privada de Google. Entonces, en ese sentido, las PPA son muy seguras.

No es posible decir que un PPA es seguro o no. Depende de las personas que lo utilizan para distribuir el software. Con el software libre, las personas pueden ver la fuente y ver si es segura o no. Cuando mucha gente usa un archivo, como los archivos regulares de Ubuntu, entonces tienes una revisión por pares. Los archivos pequeños con pocos usuarios no tienen eso, por lo que son menos confiables. La principal lección es que no importa qué sistema use, debe tener cuidado al instalar el software.

    
respondido por el Jo-Erlend Schinstad 29.08.2011 - 20:50
12

Basándose en la respuesta de Luis Alvarado , debe tener en cuenta estos riesgos:

  • Paquetes maliciosos : los paquetes pueden intentar dañarte. Esto es fácil para ellos porque pueden ejecutar cualquier código con privilegios administrativos.
  • Software de baja calidad o incompatible : una aplicación podría no funcionar bien. Podría causar daños por accidente, por ejemplo, interfiriendo con otro software, destruyendo sus datos o filtrando información privada.

y debe estar atento a estos factores:

  • La honestidad del mantenedor -¿Puede el mantenedor tratar de hacerte daño en secreto?
  • Seguridad del mantenedor : ¿el mantenedor es vulnerable al ataque de un tercero?
  • Confiabilidad del mantenedor : ¿El responsable responderá a la necesidad de actualizaciones dentro de un marco de tiempo razonable? ¿Están comprometidos a mantener el PPA a largo plazo?
  • Seguridad del repositorio : ¿paquetes firmados por el responsable?
  • Rendimiento del software : ¿el software no tiene errores y es compatible con su sistema?
respondido por el ændrük 06.11.2013 - 18:48
8

Los paquetes en los PPA no se revisan en busca de malware. Entonces, aunque alguien pueda empaquetar algo como XBMC para usted, también podría estar agregando spyware / malware. Esta es la razón por la que no debería agregar simplemente cualquier PPA al azar.

    
respondido por el tgm4883 01.12.2011 - 21:16
3

Cuando agrega ppa e instala un programa a través de él.

Básicamente, das permiso para residir ese programa en el área ejecutable permitida (/ bin / / sbin / / usr / bin /).

Ahora bien, si el programa en sí tiene / tiene algún tipo de malware, entonces el sistema no se quejará de él, ya que usted es quien agregó ppa, ya que es confiable.

Cuando el programa proviene de los repositorios de Ubuntu, primero se verifican (me gustaría decirlo a fondo, pero no sé: P) por lo que los repositorios de Ubuntu están libres de malware / spywares.

Para cualquier otro ppa depende de usted / usuario decidir si confiar en él o no.

    
respondido por el wisemonkey 01.12.2011 - 21:22

Lea otras preguntas en las etiquetas