PPAはシステムに追加しても安全ですか?また、注意すべき「レッドフラグ」とは何ですか?


301

システムに「PPA」を追加することによってのみ取得できる興味深いプログラムがたくさんありますが、正しく理解している場合は、システムにソフトウェアを追加するための公式の「リポジトリ」内に留まる必要があります。

「PPA」が安全かどうか、または回避すべきかどうかを初心者が知る方法はありますか?PPAを扱う場合、ユーザーはどのようなヒントを知っている必要がありますか?



snappy利用可能なパッケージがあるかどうかも確認できます。セキュリティルールによって制限される傾向があります。一般的な問題は同じですが、特定のアクセス許可を特定のスナップショットに明示的に付与する必要があります(発行元を信頼する必要があります)。
ケンシャープ

回答:


213

PPA(Personal Package Archive)は、Ubuntu、Kubuntu、またはその他のPPA互換ディストリビューションに特定のソフトウェアを含めるために使用されます。PPA の「安全性」は、主に3つのことに依存しています。

  1. PPAの作成-pine:libreoffice / ppaのようなWINEまたはLibreOfficeの公式PPA と、自分で作成したPPAは同じではありません。あなたはPPAのメンテナーとして私を知らないので、信頼の問題と安全性は私にとって非常に低いです(破損したパッケージ、互換性のないパッケージ、または他の悪いものを作った可能性があるため)が、LibreOfficeと彼らが彼らのウェブサイトで提供するPPA 、それは特定のセーフティネットを提供します。したがって、PPAの作成者に応じて、PPAを作成および維持している期間は、PPAの安全性に少し影響します。上記のコメントで述べたPPAはCanonicalによって認定されていません。

  2. PPAを使用したユーザーの数 -たとえば、個人用PPAにhttp://winehq.orgの PPAがあります。公式のwinehq WebサイトでScott Ritchieがppa:ubuntu-wine / ppaとして提供しているものよりも悪いと言っている6人のPPAを使用していることを確認した10人のユーザーでMEを信頼しますか。PPAを使用して作業を信頼する何千人ものユーザー(私を含む)がいます。これは、数年遅れている作業です。

  3. PPAの更新方法 -Ubuntu 10.04または10.10を使用していて、その特別なPPAを使用したいとします。そのPPAの最後の更新は20年前であることがわかります。Oo PHATを使用する可能性はゼロです。なぜ?。PPAが必要とするパッケージの依存関係は非常に古く、更新されたものはコードを大幅に変更するため、PPAで動作せず、システムにそのPPAのパッケージのいずれかをインストールするとシステムが破損する可能性があるためです。

    PPAを更新する方法は、そのPPAを使用する場合にPPAを使用する決定に影響します。そうでない場合、彼らはむしろ最新のものを探しに行きます。Banshee 0.1またはWine 0.0.0.1またはOpenOffice 0.1 Beta Alpha Omega Thundercat Editionを最新のUbuntuで使用したくない場合。必要なのは、現在のUbuntuに更新されたPPAです。PPAは、Ubuntuバージョンが何のために作られたか、または複数のUbuntuバージョンが何のために作られたかについて言及していることに注意してください。

    この例は、Wine PPAでサポートされているバージョンの画像です。

    ここに画像の説明を入力してください

    ここでは、恐竜以来このPPAがサポートされていることがわかります。

    PPAメンテナーが特定のパッケージの最新かつ最高の最先端バージョンをPPAにプッシュする傾向がある場合、PPAの更新方法に関する悪い点は1つです。これの欠点は、最新のものをテストする場合、いくつかのバグを見つけることになるということです。バグが含まれている可能性があるため、不安定バージョン、テストバージョン、または開発バージョンではなく、安定バージョンに更新されたPPAを使用するようにしてください。最新のものを持っているという考えは、どの問題が発見されたかをテストし、それらを解決することです。この例は、毎日のXorg PPAと毎日のMozilla PPAです。デイリーを入手すると、X.orgまたはFirefoxのアップデートが毎日約3回届きます。これは、そこに置かれた作業のためであり、毎日のPPAを使用している場合、本番環境ではなく、バグの追跡または開発を支援したいということです。

基本的にこの3に固執すると、安全になります。常にPPAのメーカー/メンテナーを探してください。多くのユーザーがそれを使用したかどうか、PPAの更新状況を常に確認してください。以下のような場所OMGUbuntuPhoronixスラッシュドットHWebUp8もここAskUbuntuでは、多くのユーザーとの記事について話して、彼らがテストしたいくつかのPPAを推薦を見つけるための良い情報源です。

安定したPPAの例 -LibreOffice、OpenOffice、Banshee、Wine、Kubuntu、Ubuntu、Xubuntu、PlayDeb、GetDeb、VLCは、私の経験からの優れた安全なPPAです。

準安定PPA -X-Swat PPAは、最先端と安定の中間のPPAです。

Bleeding Edge PPA -Xorg-Edgersは最先端のPPAですが、12.04以降、このPPAはますます安定していることに言及する必要があります。私はまだ最先端としてマークしますが、エンドユーザーにとって十分に安定しています。

選択可能なPPA-ハンドブレーキは、ここでユーザーが選択できる方法、安定したバージョンが必要なのか、最先端(スナップショットとも呼ばれる)バージョンが必要なのかを提供します。この場合、使用するものを選択できます。

たとえば、Xorg-Edgers PPAでX-Swat ppaを使用する場合、2つが混在することに注意してください(Xorg-Edgersに優先して)。これは、両方がほぼ同じパッケージをインクルードしようとしているため、お互いを上書きし、最新のパッケージのみがリポジトリに表示されるためです(X-Swatからパッケージを取得するよう手動で指示した場合を除く)。

一部のPPAは、PPAソフトウェアがシステムで正常に動作するように特定のパッケージを独自のバージョンで上書きするため、リポジトリに追加するときに一部のパッケージを更新する場合があります。これは、いくつかのコードパッケージ、Pythonバージョンなどである可能性があります。LibreOfficePPAのような他のシステムは、システムからOpenOfficeの存在をすべて削除し、そこにLibreOfficeパッケージをインストールします。基本的に、他のユーザーが特定のパッケージについてコメントしたことを読み、パッケージがUbuntuバージョンと互換性があるかどうかも読みます。

Jeremy Bichaによる以下のコメントが示唆するように、いくつかの最先端(PPAにAlpha、Beta、またはRC品質のソフトウェアを追加するなど非常に最新の状態にあるPPA)は、システム全体を損傷する可能性があります(最悪の場合)。ジェレミーは多くの例を挙げています。


これは、分点、初等などのテーマを取得するためにインストールする必要がある多数のPPAに当てはまりますか?
アベル

2
はい。PPAに適用されます。PPAは、アップグレードに時間をかける人を介してプログラムまたはプログラムのグループを更新する簡単な方法であることに注意してください。だから、誰かが何かを更新したり、最新/古いシステムと互換性を持つために自分の時間を捧げる場所です。しかし、それをしているのは人間であるため、途中で間違いがあるかもしれません。
ルイスアルバラード

14
PPAのユーザー数はどのようにしてわかりますか?
ダミアン

PPAを追加すると、ハッカーにいくつかの穴が開いてしまいますか?
mathmaniage

@mathmaniageソースコードはシステムによってアップロードおよび構築される必要があるため、ソースコードはいつでも確認できます。
ケンシャープ

56

ランチパッドでPPAを開発するには、貢献者がubuntu行動規範に署名している必要があります。これは、開発者が最小限の標準セットに従う必要があることを意味します。

通常、人々は、ubuntuforumsを参照して、特定のPPAを使用したユーザーと、問題を引き起こす可能性のあるユーザーを確認する必要があります。

「初心者」または「初心者」の場合、コマンドラインに関するいくつかの事項、潜在的なエラーメッセージ、および問題の診断方法について理解できると確信できるまで、PPAを避けてください。

PPAの原因となる問題を削除するには、ほとんどの場合「ppa_purge」を使用できます

緊張している場合は、clonezillaなどのツールを使用してコンピューターのイメージバックアップを検討してください。そうすれば、物事がうまくいかず、それを解決できない場合、少なくとも、プレイを開始する前の状態にコンピューターを戻す迅速な手段があります。

そうは言っても、ppaはソフトウェアの最新バージョンを入手するのに非常に便利です。特に6か月ごとにアップグレードしてubuntuのLTSバージョンを使用しようとしない人にとっては非常に便利です。


1
初心者へのアドバイスだけのために、一番上であなたの答えが大好きです。:(
Braiam

@fossFreedom:私はPPAまたは経由でインストールする場合、私は自動更新を受け取るんapt-get installユーティリティ
ラジャット・グプタ

1
PPAを作成した人が、新しいバージョンでパッケージを更新する場合、はい- - @ USER01あなたはまずPPAを追加した場合、自動的にアップデートを取得しますapt-get install package
fossfreedomの

2
もちろん、悪意のあるユーザーが行動規範に署名することで停止されることはありません
...-evilsoup

バックアップでは、デジタル盗難から保護されません(たとえば、悪意のあるPPAがブラウザーのCookieやsshキーを自宅に送信するなど)。本当に緊張している場合は、仮想マシン、コンテナ、またはschroot内でPPAをインストールして実行しても安全です
-joeytwiddle

21

既に述べたように、マルウェアだけの問題ではありません。また、ソフトウェアの一部はまだテスト段階にあり、実稼働で使用する準備が整っていない場合があります。それをインストールし、作業を完了するためにそれを使用すると、バグがあり、信頼性が低く、クラッシュする可能性があることに気付くかもしれません。

また、UnityやGnomeなど、Ubuntuの他の側面とうまく連携せず、追跡が困難な問題を引き起こしたり、システムを不安定にしたりする場合もあります。

これは、ソフトウェアが悪いからではなく、おそらくまだ完全にテストされていないため、または人々がテストできるように利用可能になったが、まだ一般に本番ソフトウェアとしてリリースされることを意図していないためです。そのため、注意する必要がありますが、その一部は非常に優れています。

数か月前、特定のPPAから推奨パッケージをインストールしましたが、システムが十分に破壊されたため、Ubuntuを再インストールする必要がありました。私は新しいユーザーであり、他に何をすべきかわかりませんでした。もう少し知識があれば、再インストールせずに問題を解決して復元することができたかもしれません(それはUbuntuの学習にも役立ちましたが、自分のマシンに保存していた場合は失われていました) 。

そのため、注意し、質問し、頻繁にバックアップを行い(!!!)、マルウェアが発生する可能性は低いことを(不可能ではありませんが)知っておいてください。


19

ここに記載されている他の懸念事項はすべて、理解することが非常に重要です。とはいえ、これはオープンソースであるため、PPAがUbuntuのパッケージのバージョンから何が変わったのかを正確に知ることができます。この複製のPPAを例として使用します。

最初dgetに、dscファイルへのリンクが指定されたDebianソースパッケージのすべての部分をダウンロードするツールをPPAからソースを取得します。

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

「パッケージの詳細を表示」をクリックしてそのリンクを見つけました。

パッケージの詳細を表示

その後:

dscファイルを見つける

次に、Ubuntuアーカイブでパッケージのソースを取得します。

apt-get source unity

最後debdiffに、2つのパッケージのソースの違いを確認するために使用します。

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

このコマンドの出力は約300行であるため、ウィンドウに直接入力するのではなく、ペーストビンに出力します。今、私は実際にC ++を知らないので、コードがどれほど優れているかを保証することはできませんが、それが主張することを行っており、悪意のあることは何もしていないようです。


1
+1。ただし、pastebinリンクは壊れています。
忘れられない

これは、PPAパッケージで行われたことを確認する方法の優れた例です。ペーストビンへのリンクはまったく無関係です。+1
ケンシャープ

13

PPAは、インストール可能なソフトウェアを含むWebフォルダーです。それは本当にそれほど複雑ではありません。パッケージをインストールするときは、root権限で実行します。パッケージには実行されるスクリプトがあるため、rootとして実行されます。つまり、ソフトウェアのインストールは危険であり、開発者またはディストリビューターを信頼する必要があります。

PPAなどのaptアーカイブは、インストールしたソフトウェアの更新を定期的にポーリングします。それに伴う「問題」は、インストールしたソフトウェアの新しいパッケージを誰でも提供できることです。たとえば、PPAを追加して、素敵なテーマとそのテーマの自動更新を取得できます。しかし、そのリポジトリを追加したら、たとえば、所有者はパッチを適用したopenssh-serverパッケージを追加でき、Ubuntuでは更新として表示されます。これはPPAを追加してから1年後に行うことができるため、更新に注意する必要があります。

PPAシステムはサードパーティがパッケージを改ざんすることを防止しますが、開発者/ディストリビューターを信頼する場合、PPAは非常に安全です。たとえば、Google Chromeをインストールすると、PPAが追加され、自動更新が届きます。「deb http://dl.google.com/linux/chrome/deb/ stable main」を追加します。使用しているDNSサーバーがハッキングされてdl.google.comを別の場所に向けている場合、パッチを適用したソフトウェアをChromeをインストールしたすべてのユーザーにプッシュできます。しかし、UbuntuはGoogleの秘密鍵で署名できないため、インストールを拒否します。そのため、PPAは非常に安全です。

PPAが安全かどうかを言うことはできません。それを使用してソフトウェアを配布する人に依存します。フリーソフトウェアを使用すると、人々はソースを見て、安全かどうかを確認できます。多くの人々がUbuntuの定期的なアーカイブのようなアーカイブを使用する場合、ピアレビューがあります。ユーザー数の少ない小さなアーカイブにはそれがないため、信頼性が低くなります。主な教訓は、使用するシステムに関係なく、ソフトウェアをインストールする際には注意が必要であることです。


11

Luis Alvaradoの答えに基づいて、次のリスクに注意する必要があります。

  • 悪意のあるパッケージパッケージはあなたに危害を加える可能性があります。管理者権限で任意のコードを実行できるため、これは簡単です。
  • 品質が低い、または互換性のないソフトウェア —アプリケーションが正常に動作しない可能性があります。他のソフトウェアへの干渉、データの破壊、個人情報の漏洩などにより、偶発的に損害を引き起こす可能性があります。

そして、これらの要因に注意する必要があります。

  • メンテナーの誠実さ—メンテナーはひそかにあなたに危害を加えようとしますか?
  • メンテナのセキュリティは、第三者による攻撃に対して脆弱メンテナを-is?
  • メンテナーの信頼性—メンテナーは、合理的な時間内に更新の必要性に対応しますか?彼らはPPAを長期的に維持することにコミットしていますか?
  • リポジトリのセキュリティ—パッケージはメンテナーによって署名されていますか?
  • ソフトウェアのパフォーマンス —ソフトウェアにはバグがなく、システムと互換性がありますか?

8

PPAのパッケージは、マルウェアのようなものについてはチェックされません。だから誰かがXBMCのようなものをあなたのためにパッケージ化しているかもしれませんが、彼らはまたいくつかのスパイウェア/マルウェアを簡単に追加することもできます。これが、ランダムPPAを追加するだけではいけない理由です。


XMBCとは正確に言うことができますか、私はかなり新しいubu
kernel_panic

XBMCはメディアセンターソフトウェアです。良い安全なソフトウェアです。彼はそれを例として使用しただけで、どんなソフトウェアでもかまいません。
匿名

マルウェアはubuntuで何ができますか?何でも正しいことを許可する必要がありますか?
kernel_panic

インストールすると(つまり、ファイルをシステムディレクトリにコピーし、カスタムスクリプトを実行するためのルートアクセス許可を与えられると)、システムで任意の処理を実行できるようになります。そのため、信頼できるソースからパッケージをインストールすることが重要です。
手配

間違っています。ソフトウェアをインストールするとき、あなたはそうするときrootです。その許可を取り、悪いことを始めるのはかなり簡単です。
tgm4883

3

ppaを追加し、それを通してプログラムをインストールするとき。

基本的に、許可された実行可能領域(/ bin / / sbin / / usr / bin /)にそのプログラムを常駐させる許可を与えます。

プログラム自体がマルウェアである/何らかの理由でマルウェアである場合、システムはそれについて不平を言うことはありません。あなたがその信頼できると考えてPPAを追加したのはあなただからです。

プログラムがUbuntuリポジトリから取得されると、最初にチェックされます(徹底的に言いたいのですが、:Pはわかりません)。Ubuntuリポジトリからのプログラムは、マルウェア/スパイウェアが確実にありません。

他のPPAについては、あなた/ユーザー次第で、信頼するかどうかを決定します。


マルウェアはubuntuで何ができますか?何でも正しいことを許可する必要がありますか?
kernel_panic

6
ソフトウェアをインストールすると、ルートの許可が求められます(画面が暗くなり、パスワードを入力します)。この時点では何ができる何でもあなたのボックスからすべてを削除し、キーロガーをインストールし、デスクトップの背景は、ハローキティに変更、:何かを
SCdF

1
@sanjayasanjuubuntu:インストール中、実行可能領域に常駐する許可を求められますが、そこに到達すると、su以外の情報に簡単にアクセスできます。実行するにはsu許可が必要なプログラムがありますが、パッケージ化中にプログラム自体に余分な荷物(読み取りマルウェア)が追加されている場合、パスワードを入力しても問題なく実行できます。
wisemonkey

開発PPAは最も安全なルートであり、Launchpadで貢献者の期間を確認する必要もあります。これらの要素により、最新のプログラムにPPAを使用した安全で安定したシステムが保証されます。使用しているプログラムの特定の新しいバージョンでLTSを長時間実行し続けるために、このルートを見つけました。
アラップロイチョードリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.