Các PPA có an toàn để thêm vào hệ thống của tôi không và những lá cờ đỏ nào mà bạn cần chú ý?

Tôi thấy rất nhiều chương trình thú vị ngoài kia chỉ có thể có được bằng cách thêm "PPA" vào hệ thống, nhưng nếu tôi hiểu chính xác, chúng ta nên ở trong "kho" chính thức để thêm phần mềm vào hệ thống của mình.

Có cách nào để người mới biết liệu "PPA" có an toàn không hoặc có nên tránh không? Người dùng nên biết những mẹo nào khi giao dịch với PPA?.

PPA ( Lưu trữ gói cá nhân ) được sử dụng để bao gồm một phần mềm cụ thể cho Ubuntu, Kubfox hoặc bất kỳ bản phân phối tương thích PPA nào khác của bạn. "Tính an toàn " của PPA phụ thuộc chủ yếu vào 3 điều:

1. Ai đã tạo ra PPA - Một PPA chính thức từ WINE hoặc LibreOffice như ppa: libreoffice / ppa và một PPA mà tôi tự tạo ra không giống nhau. Bạn không biết tôi là người duy trì PPA, vì vậy vấn đề tin cậy và an toàn là RẤT thấp đối với tôi (Vì tôi có thể đã làm cho gói bị hỏng, gói không tương thích hoặc bất cứ điều gì xấu), nhưng đối với LibreOffice và PPA họ cung cấp trong trang web của họ , THAT cung cấp cho một mạng lưới an toàn nhất định cho nó. Vì vậy, tùy thuộc vào người đã thực hiện PPA, người đó đã thực hiện và duy trì PPA trong bao lâu sẽ ảnh hưởng một chút đến mức độ an toàn của PPA đối với bạn. PPA như đã đề cập ở trên trong các ý kiến ​​không được chứng nhận bởi Canonical.

2. Có bao nhiêu người dùng đã sử dụng PPA - Ví dụ: tôi có PPA từ http://winehq.org trong PPA cá nhân của tôi. Bạn có tin tưởng ME với 10 người dùng xác nhận sử dụng PPA của tôi không, trong đó có 6 người nói rằng nó tệ hơn so với một người mà Scott Ritchie cung cấp dưới dạng ppa: ub Ubuntu-Wine / ppa trên trang web chính thức của Winehq. Nó có hàng ngàn người dùng (bao gồm cả tôi) sử dụng PPA của anh ấy và tin tưởng vào công việc của anh ấy. Đây là công việc có vài năm đằng sau nó.

3. PPA được cập nhật như thế nào - Giả sử bạn đang sử dụng Ubuntu 10.04 hoặc 10.10 và bạn muốn sử dụng RATNG PPA đặc biệt. Bạn phát hiện ra rằng bản cập nhật cuối cùng cho PPA đó là 20 năm trước .. Oo Cơ hội bạn sử dụng THAT PPA là vô giá trị. Tại sao?. Bởi vì các phụ thuộc gói mà PPA cần rất cũ và có thể các gói được cập nhật thay đổi rất nhiều mã mà chúng không hoạt động với PPA và có thể phá vỡ hệ thống của bạn nếu bạn cài đặt bất kỳ gói PPA nào vào hệ thống của bạn.

   Cách cập nhật PPA ảnh hưởng đến quyết định sử dụng nó nếu anh ấy / cô ấy muốn sử dụng RATNG PPA. Nếu không họ sẽ đi tìm một cái khác cập nhật hơn. Bạn không muốn Banshee 0.1 hoặc Wine 0.0.0.1 hoặc OpenOffice 0.1 Beta Alpha Omega Thundercat Edition với Ubuntu mới nhất. Những gì bạn muốn là một PPA được cập nhật lên Ubuntu hiện tại của bạn. Hãy nhớ rằng PPA đề cập đến những gì phiên bản Ubuntu được tạo ra hoặc nhiều phiên bản Ubuntu được tạo ra.

   Ví dụ về điều này ở đây là hình ảnh của các phiên bản được hỗ trợ trong Wine PPA:

   

   Ở đây bạn có thể thấy rằng PPA này được hỗ trợ kể từ Khủng long.

   Một điều BAD về cách cập nhật PPA là gì, nếu người bảo trì PPA có xu hướng đẩy vào PPA phiên bản mới nhất, lớn nhất và tiên tiến nhất của một gói cụ thể. Mặt trái của điều này là nếu bạn định thử nghiệm cái mới nhất, bạn sẽ tìm thấy một số lỗi. Cố gắng gắn bó với các PPA được cập nhật lên phiên bản ổn định và không phải là phiên bản thử nghiệm hoặc không ổn định vì nó có thể / sẽ chứa lỗi. Ý tưởng về việc mới nhất cũng là để KIỂM TRA và cho biết những vấn đề đã được tìm thấy và giải quyết chúng. Một ví dụ về điều này là các PPA Xorg hàng ngày và PPA Mozilla hàng ngày. Bạn sẽ nhận được khoảng 3 bản cập nhật hàng ngày cho X.org hoặc Firefox nếu bạn nhận được các tờ nhật báo. Điều này là do công việc được đưa vào đó và nếu bạn đang sử dụng PPA hàng ngày của họ, điều đó có nghĩa là bạn muốn giúp đỡ trong việc tìm kiếm hoặc phát triển lỗi và KHÔNG cho môi trường sản xuất.

Về cơ bản gắn bó với 3 này và bạn sẽ được an toàn. Luôn luôn tìm kiếm nhà sản xuất / bảo trì PPA. Luôn luôn xem nếu nhiều người dùng đã sử dụng nó và luôn luôn xem PPA được cập nhật như thế nào. Các địa điểm như OMGUbfox , Phoronix , Slashdot , The H , WebUp8 và thậm chí ở đây trong AskUbfox là những nguồn tốt để tìm nhiều người dùng và bài viết nói về và giới thiệu một số PPA mà họ đã thử nghiệm.

Các ví dụ PPA ổn định - LibreOffice, OpenOffice, Banshee, Wine, Kubfox, Ubuntu, Xubfox, PlayDeb, GetDeb, VLC là những PPA tốt và an toàn từ kinh nghiệm của tôi.

PPA bán ổn định - PPA X-Swat là một PPA ở giữa giữa chảy máu và ổn định.

Bleting Edge PPA - Xorg-Edgers là PPA cạnh chảy máu mặc dù tôi nên đề cập rằng sau ngày 12.04, PPA này đã trở nên ổn định hơn. Tôi vẫn sẽ đánh dấu nó là cạnh chảy máu nhưng nó đủ ổn định cho người dùng cuối.

PPA có thể lựa chọn - Handbrake cung cấp ở đây một cách để người dùng lựa chọn, bạn muốn có một phiên bản ổn định hay bạn muốn phiên bản cạnh chảy máu (Còn được gọi là Snapshot). Trong trường hợp này, bạn có thể chọn những gì bạn muốn sử dụng.

Lưu ý rằng trong trường hợp sử dụng ppa X-Swat với PPA Xorg-Edgers, bạn sẽ có sự pha trộn giữa hai loại (Ưu tiên cho Xorg-Edgers). Điều này là do cả hai đang cố gắng bao gồm gần như cùng một gói, vì vậy chúng sẽ ghi đè lên nhau và chỉ có gói cập nhật nhất sẽ hiển thị trong kho của bạn (Ngoại trừ nếu bạn bảo nó lấy gói từ X-Swat theo cách thủ công).

Một số PPA có thể cập nhật một số gói của bạn khi bạn thêm chúng vào kho lưu trữ của chúng vì chúng sẽ ghi đè lên phiên bản của chính chúng một gói nhất định để làm cho phần mềm PPA hoạt động chính xác trên hệ thống của bạn. Đây có thể là một số gói mã, phiên bản python, v.v. Khác như LibreScript PPA sẽ xóa tất cả sự tồn tại của OpenOffice khỏi hệ thống của bạn để cài đặt các gói LibreOffice ở đó. Về cơ bản hãy đọc những gì người dùng khác đã nhận xét về một gói cụ thể và cũng đọc nếu gói đó tương thích với phiên bản Ubuntu của bạn.

Như nhận xét dưới đây của Jeremy Bícha, một số lợi thế (PPA luôn cập nhật bao gồm cả phần mềm chất lượng Alpha, Beta hoặc RC trong PPA) có thể có khả năng làm hỏng toàn bộ hệ thống của bạn (trong trường hợp xấu nhất). Jeremy đề cập đến một ví dụ của nhiều người.

Để phát triển PPA trên launchpad, người đóng góp phải ký quy tắc ứng xử ubfox . Điều này biểu thị nhà phát triển phải tuân thủ một bộ tiêu chuẩn tối thiểu.

Thông thường mọi người nên tham khảo các ubuntuforums để xem ai đã sử dụng các ppa cụ thể và liệu chúng có thể gây ra bất kỳ vấn đề nào không.

Đối với "người mới" hoặc "noob" - lời khuyên tốt nhất của tôi là tránh xa PPA cho đến khi bạn cảm thấy tự tin rằng bạn hiểu một số điều về dòng lệnh, thông báo lỗi tiềm ẩn và một số điều về cách chẩn đoán sự cố.

Để loại bỏ các sự cố gây ra của ppa, hầu hết thời gian bạn có thể sử dụng " ppa_purge "

Nếu bạn cảm thấy lo lắng, thì hãy xem xét một bản sao lưu hình ảnh của máy tính của bạn với một công cụ như clonezilla . Theo cách đó, nếu có sự cố xảy ra và bạn không thể giải quyết nó, ít nhất bạn có một phương tiện nhanh chóng để khôi phục máy tính của bạn trở lại như trước khi bạn bắt đầu chơi.

Như đã nói, ppa's cực kỳ hữu ích để có được các phiên bản phần mềm mới nhất - đặc biệt là đối với những người không cố gắng nâng cấp cứ sau 6 tháng và gắn bó với phiên bản LTS của ubfox.

Đây không chỉ là vấn đề về phần mềm độc hại, như đã nói. Nó cũng là một số phần mềm có thể thực sự vẫn đang trong giai đoạn thử nghiệm và chưa sẵn sàng để sử dụng sản xuất. Nếu bạn cài đặt nó và dựa vào nó để hoàn thành công việc, bạn có thể thấy rằng đó là lỗi, không đáng tin cậy và có thể bị sập - khiến bạn không có công việc bạn đã làm.

Một số trong số đó cũng có thể không phù hợp với các khía cạnh khác của Ubuntu, chẳng hạn như Unity hoặc Gnome, gây ra các vấn đề khó theo dõi và thậm chí có thể làm cho hệ thống của bạn không ổn định.

Đây không phải là vì phần mềm xấu, mà vì có lẽ nó chưa được kiểm tra đầy đủ, hoặc vì nó đã được cung cấp để mọi người có thể kiểm tra phần mềm, nhưng chưa có ý định phát hành dưới dạng phần mềm sản xuất. Vì vậy, bạn nên sử dụng thận trọng, mặc dù một số trong đó thực sự là khá tốt.

Một vài tháng trước tôi đã cài đặt một gói được đề xuất từ ​​một PPA cụ thể và nó đã làm hỏng hệ thống của tôi đủ để tôi phải cài đặt lại Ubuntu. Tôi là một người dùng mới và không biết phải làm gì khác; với một chút kiến ​​thức, tôi có thể giải quyết vấn đề và khôi phục nó mà không cần cài đặt lại (mặc dù điều đó cũng hữu ích với tôi khi học Ubuntu, nhưng nếu tôi đã lưu trên máy thì tôi sẽ mất nó) .

Vì vậy, hãy cẩn thận, đặt câu hỏi, tạo bản sao lưu thường xuyên (!!!) và biết rằng phần mềm độc hại là không thể (mặc dù không phải là không thể).

Tất cả những mối quan tâm được liệt kê bởi những người khác ở đây là vô cùng quan trọng để hiểu. Điều đó nói rằng, vì đây là nguồn mở, chúng tôi có thể nói chính xác PPA đã thay đổi gì từ phiên bản của gói trong Ubuntu. Chúng tôi sẽ sử dụng PPA từ bản sao này làm ví dụ.

Trước tiên, chúng tôi sẽ lấy nguồn từ PPA, dgetmột công cụ sẽ tải xuống tất cả các phần của gói nguồn Debian được cung cấp một liên kết đến dsctệp:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Tôi tìm thấy liên kết đó bằng cách nhấp vào "Xem chi tiết gói":

Và sau đó:

Tiếp theo, chúng tôi sẽ lấy nguồn của gói trong kho lưu trữ Ubuntu:

apt-get source unity

Cuối cùng, chúng tôi sẽ sử dụng debdiffđể xem sự khác biệt giữa nguồn của hai gói:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Đầu ra của lệnh đó dài khoảng ba trăm dòng, vì vậy tôi sẽ đặt nó trên một pastebin thay vì trực tiếp vào cửa sổ. Bây giờ, tôi không thể đảm bảo mã tốt như thế nào vì tôi không thực sự biết C ++, nhưng dường như nó đang làm những gì nó tuyên bố và không có gì độc hại.

PPA là một thư mục web chứa phần mềm bạn có thể cài đặt. Nó thực sự không phức tạp hơn thế nhiều. Khi bạn cài đặt một gói, bạn làm điều đó với quyền root và gói có các tập lệnh được chạy, vì vậy chúng được chạy dưới dạng root. Điều đó có nghĩa là cài đặt bất kỳ phần mềm nào đều nguy hiểm và bạn cần phải tin tưởng vào nhà phát triển hoặc nhà phân phối.

Một kho lưu trữ apt, PPA hay nói cách khác, được thăm dò thường xuyên để cập nhật phần mềm bạn đã cài đặt. "Vấn đề" với điều đó là bất kỳ ai cũng có thể cung cấp gói phần mềm mới hơn mà bạn đã cài đặt. Chẳng hạn, bạn có thể thêm một PPA để có được một chủ đề đẹp và cập nhật tự động của chủ đề đó. Nhưng một khi bạn đã thêm kho lưu trữ đó, chủ sở hữu có thể thêm gói máy chủ openssh đã vá, và nó sẽ xuất hiện dưới dạng bản cập nhật trong Ubuntu. Điều này có thể được thực hiện một năm sau khi bạn thêm PPA, vì vậy bạn cần chú ý cập nhật.

Tuy nhiên, hệ thống PPA ngăn không cho bên thứ ba can thiệp vào các gói, vì vậy nếu bạn tin tưởng nhà phát triển / nhà phân phối thì PPA rất an toàn. Chẳng hạn, nếu bạn cài đặt Google Chrome, thì họ sẽ thêm PPA để bạn sẽ nhận được các bản cập nhật tự động cho nó. Họ thêm "deb http://dl.google.com/linux/chrom/deb/ ổn định chính". Nếu máy chủ DNS bạn sử dụng đã bị hack để trỏ dl.google.com vào một nơi khác, thì họ có thể đẩy phần mềm được vá vào tất cả những người đã cài đặt Chrome. Nhưng Ubuntu sẽ từ chối cài đặt chúng vì chúng không thể được ký bằng khóa riêng của Googles. Vì vậy, trong vấn đề đó, PPAs rất an toàn.

Không thể nói rằng PPA có an toàn hay không. Nó phụ thuộc vào những người sử dụng nó để phân phối phần mềm. Với phần mềm miễn phí, mọi người có thể nhìn vào nguồn và xem nó có an toàn hay không. Khi nhiều người sử dụng kho lưu trữ, như lưu trữ thông thường của Ubuntu, thì bạn có đánh giá ngang hàng. Kho lưu trữ nhỏ với ít người dùng không có điều đó, vì vậy họ không đáng tin cậy. Bài học chính là cho dù bạn sử dụng hệ thống nào, bạn nên cẩn thận khi cài đặt phần mềm.

Dựa trên câu trả lời của Luis Alvarado , bạn nên biết về những rủi ro này:

• Các gói độc hại có thể cố gắng làm hại bạn. Điều này là dễ dàng đối với họ vì họ có thể chạy bất kỳ mã nào với các đặc quyền quản trị.
• Chất lượng kém hoặc phần mềm không tương thích Ứng dụng có thể không hoạt động tốt. Nó có thể vô tình gây thiệt hại bằng cách, ví dụ, can thiệp vào phần mềm khác, phá hủy dữ liệu của bạn hoặc rò rỉ thông tin cá nhân.

và bạn nên chú ý đến những yếu tố sau:

• Sự trung thực của người bảo trì Có phải người bảo trì bí mật cố gắng làm hại bạn?
• Bảo mật của người bảo trì Có phải người bảo trì dễ bị tấn công bởi bên thứ ba?
• Độ tin cậy của người bảo trì Bạn có muốn người bảo trì đáp ứng nhu cầu cập nhật trong khung thời gian hợp lý không? Họ có cam kết duy trì PPA lâu dài không?
• Bảo mật của các gói kho lưu trữ các gói có chữ ký của người bảo trì?
• Hiệu suất của phần mềm có phải là phần mềm không có lỗi và tương thích với hệ thống của bạn không?

Các gói trên PPA không được kiểm tra cho những thứ như phần mềm độc hại. Vì vậy, trong khi ai đó có thể đóng gói thứ gì đó như XBMC cho bạn, họ cũng có thể dễ dàng thêm một số phần mềm gián điệp / phần mềm độc hại. Đây là lý do tại sao bạn không nên thêm bất kỳ PPA ngẫu nhiên nào.

Khi bạn thêm ppa và cài đặt một chương trình thông qua nó.

Về cơ bản, bạn cho phép cư trú chương trình đó trong khu vực thực thi được phép (/ bin / / sbin / / usr / bin /).

Bây giờ nếu bản thân chương trình là / có phần mềm độc hại thì hệ thống sẽ không phàn nàn về nó vì bạn là người đã thêm ppa xem xét độ tin cậy của nó.

Khi chương trình đến từ kho Ubuntu, lần đầu tiên chúng được kiểm tra (tôi muốn nói kỹ nhưng tôi không biết: P) vì vậy chắc chắn những chương trình từ kho của Ubuntu không có phần mềm độc hại / phần mềm gián điệp.

Đối với bất kỳ ppa nào khác, tùy thuộc vào bạn / người dùng để quyết định tin tưởng hay không.