web-dev-qa-db-fra.com

Les PPA sont-ils sécuritaires à ajouter à mon système et quels sont les "drapeaux rouges" à surveiller?

Je vois beaucoup de programmes intéressants qui ne peuvent être obtenus qu'en ajoutant un "PPA" au système, mais si je comprends bien, nous devrions rester dans les "référentiels" officiels pour ajouter des logiciels à notre système.

Y a-t-il un moyen pour un novice de savoir si un "PPA" est sans danger ou s'il devrait être évité? Quels conseils l’utilisateur devrait-il connaître lorsqu’il s’agit d’un PPA?.

securitypparepository
297
Rob

Les PPA ( Personal Package Archive ) servent à inclure un logiciel spécifique sur votre Ubuntu, Kubuntu ou toute autre distribution compatible PPA. La " sécurité " d'un PPA dépend principalement de 3 choses:

  1. Qui a fait le PPA - Un PPA officiel de WINE ou de LibreOffice comme ppa: libreoffice/ppa et un PPA que j'ai créé moi-même ne sont pas les mêmes. Vous ne me connaissez pas en tant que responsable PPA, donc le problème de confiance et de sécurité est TRÈS faible pour moi (car j'aurais pu créer un paquet corrompu, un paquet incompatible ou autre chose de mauvais), mais pour LibreOffice et le PPA qu'ils proposent sur leur site web CELA lui donne un certain filet de sécurité. Donc, en fonction de la personne qui a conclu l’AvPP, le temps qu’il a mis en place pour assurer son maintien influera un peu sur la sécurité de l’AVP pour vous. Les PPA mentionnés ci-dessus dans les commentaires ne sont pas certifiés par Canonical.

  2. Combien d'utilisateurs ont utilisé le PPA - Par exemple, j'ai un PPA de http://winehq.org dans ma APP personnelle. Auriez-vous confiance en moi avec 10 utilisateurs qui confirment l’utilisation de mon PPA et en ont 6 qui disent que c’est nul que celui que Scott Ritchie propose en tant que ppa: ubuntu-wine/ppa sur le site officiel de winehq. Des milliers d'utilisateurs (y compris moi) utilisent son PPA et font confiance à son travail. C'est un travail qui a plusieurs années derrière lui.

  3. À quel point le PPA est-il mis à jour - Disons que vous utilisez Ubuntu 10.04 ou 10.10 et que vous souhaitez utiliser ce PPA spécial. Vous découvrez que la dernière mise à jour de cet APP a eu lieu il y a 20 ans .. O.o. Les chances que vous avez sur l’utilisation de That PPA sont nulles. Pourquoi?. Parce que les dépendances de paquets dont PPA a besoin sont très anciennes et que celles mises à jour changent tellement de code qu'elles ne fonctionneront pas avec PPA et risquent de casser votre système si vous installez l'un des packages de ce PPA sur votre système.

    Le degré d'actualisation d'un PPA influence la décision de l'utiliser s'il souhaite utiliser CE PPA. Sinon, ils préféreraient aller en chercher un autre plus à jour. Vous ne souhaitez pas utiliser Banshee 0.1, Wine 0.0.0.1 ou OpenOffice 0.1 Beta Alpha Omega Thundercat Edition avec le dernier Ubuntu. Ce que vous voulez, c'est un PPA mis à jour pour votre Ubuntu actuel. Rappelez-vous qu'un PPA mentionne pour quelle version d'Ubuntu est faite ou pour plusieurs versions d'Ubuntu.

    À titre d'exemple, voici une image des versions prises en charge dans le PPA de Wine:

    enter image description here

    Ici vous pouvez voir que ce PPA est supporté depuis Dinosaures.

    Une mauvaise chose sur la qualité d’un PPA est mise à jour, si le responsable de PPA a tendance à insérer dans le PPA la version la plus récente, la plus aboutie et la plus récente d’un paquet spécifique. L'inconvénient est que si vous voulez tester les dernières nouveautés, vous allez trouver des bugs. Essayez de vous en tenir aux PPA mis à jour avec une version stable et non une version instable, en cours de test ou dev, car elle pourrait contenir des bogues. L’idée d’avoir les dernières nouvelles est aussi de TESTER et de dire quels problèmes ont été trouvés et de les résoudre. Un exemple de ceci est les PPA quotidiens de Xorg et les PPA quotidiens de Mozilla. Vous obtiendrez environ 3 mises à jour quotidiennes pour X.org ou Firefox si vous recevez les quotidiens. Cela est dû au travail effectué et si vous utilisez leurs PPA quotidiens, cela signifie que vous souhaitez aider à la recherche de bogues ou au développement, et NON pour un environnement de production.

Restez fondamentalement avec ce 3 et vous serez en sécurité. Recherchez toujours le fabricant/responsable du PPA. Voyez toujours si de nombreux utilisateurs l'ont utilisé et voyez toujours à quel point le PPA est mis à jour. Des endroits comme OMGUbunt , Phoronix , Slashdot , Le H , WebUp8 et même ici dans AskUbuntu sont de bonnes sources pour trouver de nombreux utilisateurs et articles qui parlent et recommandent certains PPA testés.

Exemples d'APP stables - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, XDBuntu, PlayDeb, GetDeb, VLC sont de bons PPA sécurisés de mon expérience.

PPA semi-stable - Le PPA X-Swat est un PPA situé au centre, entre le bord saignant et le stable.

PPA Bleeding Edge - Xorg-Edgers est un PPA Bound Edge, bien que je devrais mentionner qu’après 12.04, ce PPA est devenu de plus en plus stable. Je voudrais toujours le marquer comme saignement Edge, mais il est suffisamment stable pour les utilisateurs finaux.

PPA sélectionnable - Le frein à main offre ici un moyen pour l'utilisateur de choisir, voulez-vous une version stable ou voulez-vous que saignement Edge (également appelé Snapshot) version. Dans ce cas, vous pouvez sélectionner ce que vous voulez utiliser.

Notez que dans le cas où vous utiliserez par exemple le ppa X-Swat avec le PPA Xorg-Edgers, vous obtiendrez un résultat mixte entre les deux (avec une priorité vis-à-vis de Xorg-Edgers). En effet, les deux essayent d'inclure presque les mêmes packages, ils vont donc se remplacer et seul le plus mis à jour s'affichera dans vos référentiels (sauf si vous lui indiquez manuellement de récupérer le package dans X-Swat).

Certains PPA peuvent mettre à jour certains de vos packages lorsque vous les ajoutez à votre référentiel, car ils écraseront avec leur propre version un certain package pour que le logiciel PPA fonctionne correctement sur votre système. Il peut s'agir de packages de code, de versions python, etc. D'autres, comme le PPA de LibreOffice, suppriment toute existence d'OpenOffice de votre système pour y installer les packages de LibreOffice. En gros, lisez ce que les autres utilisateurs ont commenté sur un paquet spécifique et lisez également si le paquet est compatible avec votre version d'Ubuntu.

Comme Jeremy Bicha le suggère ci-dessous, certains saignements (PPA qui restent très à jour, y compris l’ajout de logiciels de qualité Alpha, Beta ou RC dans le PPA) pourraient potentiellement endommager l’ensemble du système (dans le pire des cas). Jeremy en cite un exemple.

212
Luis Alvarado

Pour développer des PPA sur le tableau de bord, le contributeur doit avoir signé le code de conduite ubunt . Cela signifie que le développeur doit respecter un ensemble minimal de normes.

Habituellement, les gens devraient alors consulter les ubuntuforums pour savoir qui a utilisé des ppa en particulier et s’ils pourraient poser des problèmes.

Pour un "novice" ou un "noob" - mon meilleur conseil est d'éviter les PPA jusqu'à ce que vous sachiez bien comprendre certaines choses concernant la ligne de commande, les messages d'erreur potentiels et la manière de diagnostiquer les problèmes.

Pour éliminer les problèmes causant ppa, vous pouvez utiliser la plupart du temps " ppa_purge "

Si vous vous sentez nerveux, envisagez une sauvegarde d'image de votre ordinateur avec un outil tel que clonezilla . Ainsi, si les choses tournent mal et que vous ne pouvez pas les résoudre, vous disposez au moins d'un moyen rapide de restaurer votre ordinateur tel qu'il était avant de commencer à jouer.

Cela dit, les ppa sont extrêmement utiles pour obtenir les dernières versions des logiciels - en particulier pour ceux qui n'essaient pas de mettre à niveau tous les 6 mois et de s'en tenir à la version LTS d'ubuntu.

56
fossfreedom

Comme il a déjà été dit, il ne s’agit pas uniquement de logiciels malveillants. Il est également possible que certains logiciels en soient encore au stade des tests et ne soient pas prêts pour une utilisation en production. Si vous l'installez et comptez sur lui pour faire le travail, vous constaterez peut-être qu'il est bogué, peu fiable et qu'il peut se bloquer - vous laissant sans le travail que vous avez effectué.

Certains d'entre eux pourraient également ne pas bien s'entendre avec d'autres aspects d'Ubuntu, tels que Unity ou Gnome, ce qui poserait des problèmes difficiles à localiser et pourrait même rendre votre système instable.

Ce n’est pas parce que le logiciel est mauvais, mais parce qu’il n’a peut-être pas encore été entièrement testé, ou parce qu’il a été mis à la disposition des utilisateurs, mais il n’a pas encore été conçu pour être publié en tant que logiciel de production. Vous devez donc faire preuve de prudence, même si certaines sont vraiment très bonnes.

Il y a plusieurs mois, j'ai installé un paquet recommandé à partir d'un PPA particulier, et mon système a été suffisamment détruit pour que je doive réinstaller Ubuntu. J'étais un nouvel utilisateur et je ne savais pas quoi faire d'autre; avec un peu plus de connaissances, j'aurais peut-être pu résoudre le problème et le restaurer sans effectuer de réinstallation (bien que cela m’ait également été utile pour apprendre Ubuntu, mais si j’avais économisé sur ma machine, je l’aurais perdu) .

Soyez donc prudent, posez des questions, effectuez des sauvegardes fréquentes (!!!) et sachez qu'un logiciel malveillant est peu probable (bien que pas impossible).

21
Kelley

Toutes les préoccupations énumérées par d’autres ici sont extrêmement importantes à comprendre. Cela étant dit, puisqu'il s'agit d'une source ouverte, nous pouvons dire exactement ce que le PPA a changé par rapport à la version du paquet dans Ubuntu. Nous utiliserons le PPA de ce doublon à titre d'exemple.

Nous allons d’abord nous procurer le source dans PPA dget, un outil qui téléchargera toutes les pièces d’un paquet source Debian à partir d’un lien menant au fichier dsc:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

J'ai trouvé ce lien en cliquant sur "Afficher les détails du forfait":

View package details

Et alors:

find dsc file

Ensuite, nous aurons le code source du paquet dans l’archive Ubuntu:

apt-get source unity

Enfin, nous utiliserons debdiff pour voir les différences entre les sources des deux packages:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

Le résultat de cette commande est d'environ trois cents lignes, donc je vais le mettre sur un Pastebin au lieu de directement dans la fenêtre. Maintenant, je ne peux pas garantir la qualité du code car je ne connais pas vraiment le C++, mais il semble faire ce qu’il prétend et ne pas être malveillant.

18
andrewsomething

Un PPA est un dossier Web contenant un logiciel que vous pouvez installer. Ce n'est vraiment pas beaucoup plus compliqué que ça. Lorsque vous installez un package, vous le faites avec les privilèges root et le package comporte des scripts qui sont exécutés. Ils sont donc exécutés en tant que root. Cela signifie que l’installation de tout logiciel est dangereuse et que vous devez faire confiance au développeur ou au distributeur.

Une archive apt, PPA ou autre, est interrogée régulièrement pour connaître les mises à jour des logiciels que vous avez installés. Le "problème" avec cela, est que tout le monde peut fournir un paquet de logiciel plus récent que vous avez installé. Par exemple, vous pouvez ajouter un PPA afin d’obtenir un thème Nice et des mises à jour automatiques de ce thème. Mais une fois que vous avez ajouté ce référentiel, le propriétaire peut ajouter un paquet patch-openssh-server corrigé, par exemple, et il apparaîtra comme une mise à jour dans Ubuntu. Cela peut être fait un an après avoir ajouté le PPA, vous devez donc faire attention aux mises à jour.

Le système PPA empêche les tiers d’altérer les packages, cependant, si vous faites confiance au développeur/distributeur, les PPA sont donc très sûrs. Par exemple, si vous installez Google Chrome, ils ajouteront un PPA pour que vous puissiez recevoir des mises à jour automatiques. Ils ajoutent "deb http://dl.google.com/linux/chrome/deb/ main stable". Si le serveur DNS que vous utilisez a été piraté pour pointer dl.google.com ailleurs, il pourrait envoyer le logiciel corrigé à tous ceux qui ont installé Chrome. Mais Ubuntu refuserait de les installer car ils ne pouvaient pas être signés avec la clé privée de Google. Donc, à cet égard, les AAE sont très sécurisés.

Il n'est pas possible de dire qu'un PPA est sûr ou non. Cela dépend des personnes qui l'utilisent pour distribuer des logiciels. Avec le logiciel libre, les gens peuvent regarder la source et voir si elle est sécurisée ou non. Lorsque de nombreuses personnes utilisent des archives, telles que les archives normales Ubuntu, vous bénéficiez d'une évaluation par les pairs. Les petites archives avec peu d'utilisateurs n'ont pas cela, elles sont donc moins fiables. La leçon principale est que peu importe le système que vous utilisez, vous devez faire attention lors de l'installation du logiciel.

14
Jo-Erlend Schinstad

En vous appuyant sur réponse de Luis Alvarado , vous devez être conscient de ces risques:

  • Packages malveillants - Les packages peuvent tenter de vous nuire. Cela leur est facile car ils peuvent exécuter n’importe quel code avec des privilèges d’administrateur.
  • Logiciels de mauvaise qualité ou incompatibles - Une application peut ne pas fonctionner correctement. Cela pourrait causer des dommages accidentels, par exemple en interférant avec un autre logiciel, en détruisant vos données ou en divulguant des informations confidentielles.

et vous devriez être attentif à ces facteurs:

  • Honnêteté du responsable - Le responsable peut-il tenter de vous nuire en secret?
  • Sécurité du mainteneur - Le mainteneur est-il vulnérable aux attaques de tiers?
  • Fiabilité du responsable - Le responsable répondra-t-il au besoin de mises à jour dans un délai raisonnable? Sont-ils engagés à maintenir le CAÉ à long terme?
  • Sécurité du référentiel - Les paquetages sont-ils signés par le responsable?
  • Performances du logiciel - Le logiciel est-il sans bug et compatible avec votre système?
12
ændrük

Les paquets sur PPA ne sont pas vérifiés pour des choses comme les logiciels malveillants. Ainsi, même si quelqu'un peut vous proposer quelque chose comme XBMC, il peut également très facilement ajouter des logiciels espions/malveillants. C'est pourquoi vous ne devriez pas simplement ajouter un PPA aléatoire.

8
tgm4883

Lorsque vous ajoutez ppa et installez un programme par son intermédiaire.

En gros, vous donnez la permission de résider ce programme dans la zone des exécutables autorisés (/ bin// sbin// usr/bin /).

Maintenant, si le programme lui-même est/a en quelque sorte un malware, le système ne s'en plaindra pas car c'est vous qui avez ajouté ppa, considérant qu'il est digne de confiance.

Lorsque les programmes proviennent des dépôts Ubuntu, ils sont d'abord vérifiés (je tiens à le dire en détail, mais je ne sais pas: P), donc ceux des dépôts Ubuntu sont exempts de logiciels malveillants et de logiciels espions.

Pour tout autre ppa, c'est à vous/utilisateur de décider s'il faut lui faire confiance ou non.

3
wisemonkey