¿Es seguro agregar PPA a mi sistema y cuáles son algunas de las "señales de alerta" a tener en cuenta?

Veo muchos programas interesantes que solo se pueden obtener agregando un "PPA" al sistema, pero, si lo entiendo correctamente, deberíamos permanecer dentro de los "repositorios" oficiales para agregar software a nuestro sistema.

¿Hay alguna forma para que un novato sepa si un "PPA" es seguro o si debe evitarse? ¿Qué consejos debe conocer el usuario cuando se trata de un PPA?

PPA ( Personal Package Archive ) se utiliza para incluir un software específico para su Ubuntu, Kubuntu o cualquier otra distribución compatible con PPA. La " seguridad " de un PPA depende principalmente de 3 cosas:

1. Quién hizo el PPA : un PPA oficial de WINE o LibreOffice como ppa: libreoffice / ppa y un PPA que yo mismo creé no son lo mismo. No me conoce como mantenedor de PPA, por lo que el problema de confianza y la seguridad son MUY bajos para mí (ya que podría haber hecho un paquete dañado, un paquete incompatible o cualquier otra cosa mala), pero para LibreOffice y el PPA que ofrecen en su sitio web , ESO le da una cierta red de seguridad. Entonces, dependiendo de quién hizo el PPA, cuánto tiempo ha estado haciendo y manteniendo el PPA influirá un poco en la seguridad del PPA para usted. Los PPA mencionados anteriormente en los comentarios no están certificados por Canonical.

2. Cuántos usuarios han usado el PPA : por ejemplo, tengo un PPA de http://winehq.org en mi PPA personal. ¿Confiarías en ME con 10 usuarios que confirman el uso de mi PPA y 6 de ellos dicen que apesta que el que Scott Ritchie ofrece como ppa: ubuntu-wine / ppa en el sitio web oficial de winehq? Tiene miles de usuarios (incluido yo) que usan su PPA y confían en su trabajo. Este es un trabajo que lleva varios años detrás.

3. Qué tan actualizado está el PPA : digamos que está utilizando Ubuntu 10.04 o 10.10, y desea usar ESE PPA especial. Usted descubre que la última actualización de ese PPA fue hace 20 años. Oo Las posibilidades que tiene al usar ESA PPA son nulas. ¿Por qué?. Debido a que las dependencias de paquetes que necesita PPA son muy antiguas y tal vez las actualizadas cambian tanto código que no funcionarán con el PPA y posiblemente rompan su sistema si instala cualquiera de los paquetes de ese PPA en su sistema.

   La actualización de un PPA influye en la decisión de usarlo si él / ella quiere usar ESO PPA. Si no, preferirían buscar otro más actualizado. No desea Banshee 0.1 o Wine 0.0.0.1 o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition con la última versión de Ubuntu. Lo que quieres es un PPA que se actualice a tu Ubuntu actual. Recuerde que un PPA menciona para qué está hecha la versión de Ubuntu o para qué se hicieron varias versiones de Ubuntu.

   Como ejemplo de esto, aquí hay una imagen de las versiones compatibles con Wine PPA:

   

   Aquí puede ver que este PPA es compatible desde Dinosaurios.

   Una cosa MALA acerca de cuán actualizado es un PPA, si el mantenedor de PPA tiende a introducir en el PPA la última, mejor y más avanzada versión de un paquete específico. La desventaja de esto es que si vas a probar lo último de algo, vas a encontrar algunos errores. Intente seguir con los PPA que se actualizan a una versión estable y no a una versión inestable, de prueba o de desarrollo, ya que podría contener errores. La idea de tener lo último también es PROBAR y decir qué problemas se encontraron y resolverlos. Un ejemplo de esto son los PPA Xorg diarios y los PPA Daily Mozilla. Obtendrá aproximadamente 3 actualizaciones diarias para X.org o Firefox si obtiene los diarios. Esto se debe al trabajo realizado y si está utilizando sus PPA diarios, significa que desea ayudar con la búsqueda o desarrollo de errores y NO para un entorno de producción.

Básicamente quédate con este 3 y estarás a salvo. Siempre busque el fabricante / mantenedor del PPA. Siempre vea si muchos usuarios lo han usado y siempre vea qué tan actualizado está el PPA. Lugares como OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 e incluso aquí en AskUbuntu son buenas fuentes para encontrar muchos usuarios y artículos que hablan y recomiendan algunos PPA que han probado.

Ejemplos de PPA estables : LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC son PPA buenos y seguros de MI experiencia.

PPA semi estable: el PPA X-Swat es un PPA en el medio entre el borde sangrante y estable.

PPA de Bleeding Edge : Xorg-Edgers es un PPA de borde sangriento, aunque debo mencionar que después de 12.04, este PPA se ha vuelto más y más estable. Todavía lo marcaría como borde de sangrado, pero es lo suficientemente estable para los usuarios finales.

PPA seleccionable : Handbrake ofrece aquí una forma para que el usuario elija, si desea una versión estable o si desea una versión innovadora (también conocida como Instantánea). En este caso, puede seleccionar lo que desea usar.

Tenga en cuenta que en el caso de utilizar, por ejemplo, el X-Swat ppa con el Xorg-Edgers PPA, obtendrá una mezcla entre los dos (con prioridad hacia Xorg-Edgers). Esto se debe a que ambos intentan incluir casi los mismos paquetes, por lo que se sobrescribirán entre sí y solo se mostrará el más actualizado en sus repositorios (excepto si le dice manualmente que tome el paquete de X-Swat).

Algunos PPA pueden actualizar algunos de sus paquetes cuando los agrega a su repositorio porque sobrescribirán con su propia versión un paquete determinado para que el software de PPA funcione correctamente en su sistema. Estos pueden ser algunos paquetes de código, versiones de python, etc. Otros como el LibreOffice PPA eliminarán toda la existencia de OpenOffice de su sistema para instalar los paquetes de LibreOffice allí. Básicamente lea lo que otros usuarios han comentado sobre un paquete específico y también si el paquete es compatible con su versión de Ubuntu.

Como el comentario a continuación sugiere por Jeremy Bicha, algunos avances (PPA que se mantienen muy actualizados, incluida la adición de software de calidad Alpha, Beta o RC en el PPA) podrían dañar su sistema completo (en el peor de los casos). Jeremy menciona un ejemplo de muchos.

Para desarrollar PPA en la plataforma de lanzamiento, el contribuyente debe haber firmado el código de conducta de ubuntu . Esto significa que el desarrollador debe cumplir con un conjunto mínimo de estándares.

Por lo general, las personas deben consultar los foros de ubuntu para ver quién ha usado un ppa en particular y si pueden causar algún problema.

Para un "novato" o "novato", mi mejor consejo es mantenerse alejado de los PPA hasta que se sienta seguro de que comprende algunas cosas sobre la línea de comando, posibles mensajes de error y algunas cosas sobre cómo diagnosticar problemas.

Para eliminar los problemas que causan ppa, la mayoría de las veces puede usar " ppa_purge "

Si se siente nervioso, considere una copia de seguridad de la imagen de su computadora con una herramienta como clonezilla . De esa manera, si las cosas salen mal y no puede resolverlo, al menos tiene un medio rápido para restaurar su computadora a la forma en que estaba antes de comenzar a jugar.

Dicho todo esto, los ppa son extremadamente útiles para obtener las últimas versiones de software, especialmente para aquellos que no intentan actualizar cada 6 meses y se adhieren a la versión LTS de ubuntu.

No es solo una cuestión de malware, como ya se ha dicho. También es que parte del software todavía podría estar en la etapa de prueba y no estar listo para su uso en producción. Si lo instala y confía en él para realizar el trabajo, es posible que tenga errores, que no sea confiable y que se bloquee, dejándolo sin el trabajo que ha realizado.

Algunos de ellos también podrían no llevarse bien con otros aspectos de Ubuntu, como Unity o Gnome, causando problemas que son difíciles de rastrear y quizás incluso haciendo que su sistema sea inestable.

Esto no se debe a que el software sea malo, sino a que tal vez aún no se haya probado por completo, o porque esté disponible para que las personas puedan probarlo, pero aún no está destinado a ser lanzado como software de producción. Por lo tanto, debe tener precaución, aunque algo de eso es realmente bastante bueno.

Hace unos meses instalé un paquete recomendado de un PPA particular, y destrozó mi sistema lo suficiente como para tener que reinstalar Ubuntu. Era un nuevo usuario y no sabía qué más hacer; con un poco más de conocimiento podría haber podido resolver el problema y restaurarlo sin tener que volver a instalarlo (aunque eso también me fue útil para aprender Ubuntu, pero si hubiera trabajado guardado en mi máquina lo habría perdido) .

Así que tenga cuidado, haga preguntas, haga copias de seguridad frecuentes (!!!) y sepa que el malware es poco probable (aunque no imposible).

Todas las preocupaciones enumeradas por otros aquí son extremadamente importantes de entender. Dicho esto, dado que esto es de código abierto, podemos decir exactamente qué ha cambiado el PPA desde la versión del paquete en Ubuntu. Usaremos el PPA de este duplicado como ejemplo.

Primero tomaremos la fuente del PPA, dgetuna herramienta que descargará todas las piezas de un paquete fuente de Debian con un enlace al dscarchivo:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Encontré ese enlace haciendo clic en "Ver detalles del paquete":

Y entonces:

A continuación, obtendremos la fuente del paquete en el archivo de Ubuntu:

apt-get source unity

Finalmente, usaremos debdiffpara ver las diferencias entre la fuente de los dos paquetes:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

La salida de ese comando tiene aproximadamente trescientas líneas, por lo que lo pondré en un pastebin en lugar de directamente en la ventana. Ahora, no puedo garantizar cuán bueno es el código, ya que realmente no conozco C ++, pero parece estar haciendo lo que dice y no nada malicioso.

Un PPA es una carpeta web que contiene software que puede instalar. Realmente no es mucho más complicado que eso. Cuando instala un paquete, lo hace con privilegios de root y el paquete tiene scripts que se ejecutan, por lo que se ejecutan como root. Eso significa que la instalación de cualquier software es peligrosa y necesita confiar en el desarrollador o distribuidor.

Un archivo apto, PPA o de otro tipo, se sondea periódicamente para obtener actualizaciones del software que ha instalado. El "problema" con eso es que cualquiera puede proporcionar un paquete de software más nuevo que haya instalado. Por ejemplo, puede agregar un PPA para obtener un buen tema y actualizaciones automáticas de ese tema. Pero una vez que haya agregado ese repositorio, el propietario puede agregar un paquete de servidor openssh parcheado, por ejemplo, y aparecerá como una actualización en Ubuntu. Esto se puede hacer un año después de agregar el PPA, por lo que debe prestar atención a las actualizaciones.

Sin embargo, el sistema PPA evita que terceros alteren los paquetes, por lo que si confía en el desarrollador / distribuidor, entonces los PPA son muy seguros. Por ejemplo, si instala Google Chrome, agregan un PPA para que reciba actualizaciones automáticas. Añaden "deb http://dl.google.com/linux/chrome/deb/ stable main". Si el servidor DNS que usa fue pirateado para apuntar dl.google.com a otro lugar, entonces podrían enviar software parcheado a todos los que instalaron Chrome. Pero Ubuntu se negaría a instalarlos, ya que no podían firmarse con la clave privada de Google. En ese sentido, los PPA son muy seguros.

No es posible decir que un PPA es seguro o no. Depende de las personas que lo usan para distribuir software. Con el software libre, las personas pueden mirar la fuente y ver si es segura o no. Cuando mucha gente usa un archivo, como los archivos regulares de Ubuntu, entonces tienes una revisión por pares. Los archivos pequeños con pocos usuarios no tienen eso, por lo que son menos confiables. La lección principal es que no importa qué sistema use, debe tener cuidado al instalar el software.

Sobre la base de la respuesta de Luis Alvarado , debe tener en cuenta estos riesgos:

• Paquetes maliciosos: los paquetes pueden intentar hacerte daño. Esto es fácil para ellos porque pueden ejecutar cualquier código con privilegios administrativos.
• Software de baja calidad o incompatible: una aplicación podría no funcionar bien. Puede causar daños accidentalmente, por ejemplo, al interferir con otro software, destruir sus datos o filtrar información privada.

y debes estar atento a estos factores:

• Honestidad del mantenedor: ¿ podría el mantenedor tratar de lastimarte en secreto?
• Seguridad del mantenedor: ¿es el mantenedor vulnerable al ataque de un tercero?
• Fiabilidad del mantenedor: ¿responderá el mantenedor a la necesidad de actualizaciones dentro de un plazo razonable? ¿Están comprometidos a mantener el PPA a largo plazo?
• Seguridad del repositorio: ¿los paquetes están firmados por el mantenedor?
• Rendimiento del software: ¿el software está libre de errores y es compatible con su sistema?

Los paquetes en PPA no se verifican en busca de cosas como malware. Entonces, si bien alguien podría estar empacando algo como XBMC para usted, también podría agregar fácilmente algo de spyware / malware. Esta es la razón por la que no debes agregar cualquier PPA aleatorio.

Cuando agrega ppa e instala un programa a través de él.

Básicamente, usted da permiso para residir ese programa en el área ejecutable permitida (/ bin / / sbin / / usr / bin /).

Ahora, si el programa en sí mismo es / tiene de alguna manera un malware, entonces el sistema no se quejará, ya que usted es el que agregó ppa considerando que es confiable.

Cuando el programa proviene de los repositorios de Ubuntu, primero se verifican (me gustaría decirlo a fondo, pero no sé: P) para que los de los repositorios de Ubuntu estén libres de malware / spywares.

Para cualquier otro ppa, depende de usted / usuario decidir si confiar en él o no.