Les PPA sont-ils sécuritaires à ajouter à mon système et quels sont les «drapeaux rouges» à surveiller?

301

Je vois beaucoup de programmes intéressants qui ne peuvent être obtenus qu'en ajoutant un "PPA" au système, mais si je comprends bien, nous devrions rester dans les "référentiels" officiels pour ajouter des logiciels à notre système.

Y a-t-il un moyen pour un novice de savoir si un «PPA» est sans danger ou s'il devrait être évité? Quels conseils l’utilisateur devrait-il connaître lorsqu’il s’agit d’un PPA?.

Rob
la source
2
Voir aussi: askubuntu.com/questions/7662/…
mécanique
Vous pouvez également vérifier si un snappypackage est disponible. Ils ont tendance à être limités par les règles de sécurité. Vous devez accorder explicitement certaines autorisations à certains instantanés, bien que le problème général soit le même (vous devez faire confiance à l'éditeur).
Ken Sharp

Réponses:

213

Les PPA ( Personal Package Archive ) permettent d’inclure un logiciel spécifique dans votre distribution Ubuntu, Kubuntu ou toute autre distribution compatible PPA. La " sécurité " d'un PPA dépend principalement de 3 choses:

  1. Qui a créé le PPA - Un PPA officiel de WINE ou de LibreOffice tel que ppa: libreoffice / ppa et un PPA que j'ai créé moi-même ne sont pas identiques. Vous ne me connaissez pas en tant que responsable PPA, le problème de confiance et de sécurité est donc TRÈS faible pour moi (car j'aurais pu créer un paquet corrompu, un paquet incompatible ou autre chose de mauvais), mais pour LibreOffice et le PPA qu'ils proposent sur leur site Web CELA lui donne un certain filet de sécurité. Donc, en fonction de la personne qui a conclu l’AvPP, le temps qu’il a mis en place pour assurer son maintien influencera un peu la sécurité de l’AVP pour vous. Les PPA mentionnés ci-dessus dans les commentaires ne sont pas certifiés par Canonical.

  2. Combien d'utilisateurs ont utilisé le PPA - Par exemple, j'ai un PPA de http://winehq.org dans mon PPA personnel. Feriez-vous confiance en moi avec 10 utilisateurs qui confirment l’utilisation de mon PPA et en ont six qui disent que c’est nul que celui que Scott Ritchie propose en tant que ppa: ubuntu-wine / ppa sur le site officiel de winehq. Des milliers d'utilisateurs (y compris moi) utilisent son PPA et font confiance à son travail. C'est un travail qui a plusieurs années derrière lui.

  3. Quelle est la mise à jour du PPA - Supposons que vous utilisiez Ubuntu 10.04 ou 10.10 et que vous souhaitiez utiliser That PPA spécial. Vous découvrez que la dernière mise à jour de ce PPA datait d'il y a 20 ans. Pourquoi?. Parce que les dépendances de paquetages dont PPA a besoin sont très anciennes et que les mises à jour changent tellement de code qu'elles ne fonctionneront pas avec PPA et risquent de casser votre système si vous installez l'un des packages de ce PPA sur votre système.

    Le degré d'actualisation d'un PPA influence la décision de l'utiliser s'il souhaite utiliser CE PPA. Sinon, ils préféreraient aller en chercher un autre plus à jour. Vous ne souhaitez pas utiliser Banshee 0.1, Wine 0.0.0.1 ou OpenOffice 0.1 Beta Alpha Omega Thundercat Edition avec le dernier Ubuntu. Ce que vous voulez, c'est un PPA mis à jour pour votre Ubuntu actuel. Rappelez-vous qu'un PPA mentionne pour quelle version d'Ubuntu est faite ou pour plusieurs versions d'Ubuntu.

    À titre d'exemple, voici une image des versions prises en charge dans le PPA de Wine:

    entrez la description de l'image ici

    Ici vous pouvez voir que ce PPA est supporté depuis Dinosaures.

    Le problème avec le niveau de mise à jour d’un PPA est BAD, si le responsable de PPA a tendance à importer dans le PPA la version la plus récente, la plus avancée et la plus avancée d’un paquet spécifique. L'inconvénient est que si vous voulez tester les dernières nouveautés, vous allez trouver des bugs. Essayez de vous en tenir aux PPA mis à jour avec une version stable et non une version instable, en cours de test ou dev, car elle pourrait contenir des bogues. L’idée d’avoir ce dernier est aussi de TESTER et de dire quels problèmes ont été trouvés et de les résoudre. Un exemple de ceci est les PPA quotidiens de Xorg et les PPA quotidiens de Mozilla. Vous obtiendrez environ 3 mises à jour quotidiennes pour X.org ou Firefox si vous recevez les quotidiens. Ceci est dû au travail effectué et si vous utilisez leurs PPA quotidiens, cela signifie que vous souhaitez aider à la recherche de bogues ou au développement, et NON pour un environnement de production.

Restez fondamentalement avec ce 3 et vous serez en sécurité. Recherchez toujours le fabricant / responsable du PPA. Voyez toujours si de nombreux utilisateurs l'ont utilisé et voyez toujours à quel point le PPA est mis à jour. Des endroits tels que OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 et même ici à AskUbuntu sont de bonnes sources pour trouver de nombreux utilisateurs et articles qui parlent et recommandent certains PPA testés.

Exemples de PPA stables - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sont de bons PPA sécurisés de mon expérience.

PPA semi-stable - Le PPA X-Swat est un PPA situé au centre, entre la limite de saignée et la stabilité.

PPA Bleeding Edge - Xorg-Edgers est un PPA à la pointe de la technologie bien que je devrais mentionner qu’après 12.04, ce PPA est devenu de plus en plus stable. Je voudrais toujours le marquer comme avant-garde, mais il est suffisamment stable pour les utilisateurs finaux.

PPA sélectionnable - Handbrake offre ici un moyen pour l'utilisateur de choisir, voulez-vous une version stable ou voulez-vous la version à fond perdu (également appelée Instantané). Dans ce cas, vous pouvez sélectionner ce que vous voulez utiliser.

Notez que dans le cas où vous utiliserez par exemple le ppa X-Swat avec le PPA Xorg-Edgers, vous obtiendrez un résultat mixte entre les deux (avec une priorité vis-à-vis de Xorg-Edgers). En effet, les deux essayent d'inclure presque les mêmes paquets, ils vont donc se remplacer et seul le plus mis à jour s'affichera dans vos référentiels (sauf si vous lui indiquez manuellement de récupérer le paquet depuis X-Swat).

Certains PPA peuvent mettre à jour certains de vos packages lorsque vous les ajoutez à votre référentiel car ils écraseront avec leur propre version un certain package pour que le logiciel PPA fonctionne correctement sur votre système. Cela peut être des paquets de code, des versions de python, etc. D'autres, comme le PPA LibreOffice, vont supprimer toute existence d'OpenOffice de votre système pour y installer les paquets LibreOffice. En gros, lisez ce que les autres utilisateurs ont commenté sur un paquet spécifique et lisez également si le paquet est compatible avec votre version d'Ubuntu.

Comme le suggère Jeremy Bicha dans le commentaire ci-dessous, certains bords d'attaque (les PPA qui restent très à jour, y compris l'ajout de logiciels de qualité Alpha, Beta ou RC dans le PPA) pourraient potentiellement endommager l'ensemble de votre système (dans le pire des cas). Jeremy en cite un exemple.

Luis Alvarado
la source
Est-ce vrai pour la multitude de PPA que vous devez installer pour obtenir des thèmes comme l'équinoxe, l'élémentaire, etc.?
abel
2
Oui. Cela s'applique à n'importe quel AAE. N'oubliez pas qu'un PPA est simplement un moyen facile de mettre à jour un programme ou un groupe de programmes par l'intermédiaire de quelqu'un qui prend son temps pour le mettre à niveau. C'est donc un endroit où quelqu'un consacre son temps à la mise à jour ou à la compatibilité de quelque chose avec le système le plus récent ou le plus ancien. Mais puisque c'est un humain qui le fait, il pourrait y avoir des erreurs sur le chemin.
Luis Alvarado
14
Comment peut-on découvrir combien d'utilisateurs un PPA a?
Damien
L'ajout d'un PPA donne-t-il aux pirates quelques trous à traverser?
mathmaniage
@mathmaniage Le code source doit être téléchargé et construit par le système, afin qu'il soit disponible pour vérification à tout moment.
Ken Sharp
56

Pour développer des PPA sur le tableau de bord, le contributeur doit avoir signé le code de conduite d'ubuntu . Cela signifie que le développeur doit respecter un ensemble minimal de normes.

Habituellement, les gens devraient alors consulter les ubuntuforums pour savoir qui a utilisé des ppa en particulier et s’ils pourraient poser des problèmes.

Pour un "novice" ou un "noob" - mon meilleur conseil est d'éviter les PPA jusqu'à ce que vous sachiez bien comprendre certaines choses concernant la ligne de commande, les messages d'erreur potentiels et la manière de diagnostiquer les problèmes.

Pour éliminer les problèmes causant ppa, vous pouvez utiliser la plupart du temps " ppa_purge "

Si vous vous sentez nerveux, envisagez une sauvegarde d'image de votre ordinateur à l'aide d'un outil comme Clonezilla . Ainsi, si les choses tournent mal et que vous ne pouvez pas les résoudre, vous disposez au moins d'un moyen rapide de restaurer votre ordinateur tel qu'il était avant de commencer à jouer.

Cela étant dit, les ppa sont extrêmement utiles pour obtenir les dernières versions de logiciels, en particulier pour ceux qui n'essaient pas de mettre à niveau tous les 6 mois et de s'en tenir à la version LTS d'ubuntu.

fossfreedom
la source
1
J'aimerais votre réponse en haut juste pour le conseil aux novices. :(
Braiam
@fossFreedom: est-ce que je reçois des mises à jour automatiques si j'installe via ppa ou un apt-get installutilitaire
Rajat Gupta
1
@ user01 - si la personne qui a créé le PPA met à jour le package avec une nouvelle version, oui, vous obtiendrez la mise à jour automatiquement si vous avez d'abord ajouté le PPA, puisapt-get install package
fossfreedom
2
Bien sûr, un utilisateur malveillant ne sera pas arrêté de signer le code de conduite ...
evilsoup
Les sauvegardes ne vous sauveront pas du vol numérique (par exemple, un PPA malveillant envoyant des cookies de votre navigateur ou des clés ssh à la maison). Si vous vous sentez vraiment nerveux, installez et exécutez le PPA dans une machine virtuelle, un conteneur ou une racine virtuelle en toute sécurité .
joeytwiddle
21

Comme il a déjà été dit, il ne s’agit pas uniquement de logiciels malveillants. Il est également possible que certains logiciels en soient encore au stade des tests et ne soient pas prêts pour une utilisation en production. Si vous l'installez et comptez sur lui pour faire le travail, vous constaterez qu'il est bogué, peu fiable et qu'il peut se bloquer - vous laissant sans le travail que vous avez effectué.

Certains d'entre eux pourraient également ne pas bien s'entendre avec d'autres aspects d'Ubuntu, tels que Unity ou Gnome, ce qui poserait des problèmes difficiles à localiser et pourrait même rendre votre système instable.

Ce n’est pas parce que le logiciel est mauvais, mais parce qu’il n’a peut-être pas encore été testé, ou parce qu’il a été mis à la disposition des utilisateurs, mais n’a pas encore été conçu pour être publié en tant que logiciel de production. Vous devez donc faire preuve de prudence, même si certaines sont vraiment très bonnes.

Il y a plusieurs mois, j'ai installé un paquet recommandé à partir d'un PPA particulier, et mon système a été suffisamment détruit pour que je doive réinstaller Ubuntu. J'étais un nouvel utilisateur et je ne savais pas quoi faire d'autre; avec un peu plus de connaissances, j'aurais peut-être pu résoudre le problème et le restaurer sans faire de réinstallation (bien que cela m’ait également été utile pour apprendre Ubuntu, mais si j’avais économisé sur ma machine, je l’aurais perdu) .

Soyez donc prudent, posez des questions, effectuez des sauvegardes fréquentes (!!!) et sachez qu'un logiciel malveillant est peu probable (bien que pas impossible).

Kelley
la source
19

Toutes les préoccupations énumérées par d’autres ici sont extrêmement importantes à comprendre. Cela étant dit, puisqu'il s'agit d'une source ouverte, nous pouvons dire exactement ce que le PPA a changé par rapport à la version du paquet dans Ubuntu. Nous utiliserons le PPA de cette copie à titre d'exemple.

Nous allons d’abord récupérer dans les sources de PPA dgetun outil qui téléchargera toutes les pièces d’un paquet source Debian à partir d’un lien vers le dscfichier:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

J'ai trouvé ce lien en cliquant sur "Afficher les détails du forfait":

Voir les détails du forfait

Puis:

trouver le fichier dsc

Ensuite, nous aurons le code source du paquet dans l’archive Ubuntu:

apt-get source unity

Enfin, nous verrons debdiffles différences entre les sources des deux packages:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

La sortie de cette commande a une longueur d'environ trois cents lignes, je vais donc la mettre sur une boîte à copier plutôt que directement dans la fenêtre. Maintenant, je ne peux pas garantir la qualité du code puisque je ne connais pas vraiment le C ++, mais il semble faire ce qu’il prétend et ne pas être malveillant.

andrewsomething
la source
1
+1, mais votre lien pastebin est cassé.
Inoubliableid
Ceci est un excellent exemple de la façon de vérifier ce qui a été fait avec un paquet PPA. Le lien vers la pastebin est totalement hors de propos. +1
Ken Sharp
13

Un PPA est un dossier Web contenant un logiciel que vous pouvez installer. Ce n'est vraiment pas beaucoup plus compliqué que ça. Lorsque vous installez un package, vous le faites avec des privilèges root et le package comporte des scripts qui sont exécutés. Ils sont donc exécutés en tant que root. Cela signifie que l’installation de tout logiciel est dangereuse et que vous devez faire confiance au développeur ou au distributeur.

Une archive apt, PPA ou autre, est interrogée régulièrement pour connaître les mises à jour des logiciels que vous avez installés. Le "problème" avec cela, est que tout le monde peut fournir un paquet de logiciel plus récent que vous avez installé. Par exemple, vous pouvez ajouter un PPA afin d’obtenir un beau thème et des mises à jour automatiques de ce thème. Mais une fois que vous avez ajouté ce référentiel, le propriétaire peut ajouter un paquet patch-openssh-server corrigé, par exemple, et il apparaîtra comme une mise à jour dans Ubuntu. Cela peut être fait un an après avoir ajouté le PPA, vous devez donc faire attention aux mises à jour.

Le système PPA empêche les tiers d’altérer les packages, cependant, si vous faites confiance au développeur / distributeur, les PPA sont donc très sûrs. Par exemple, si vous installez Google Chrome, ils ajoutent un PPA afin que vous receviez des mises à jour automatiques pour celui-ci. Ils ajoutent "deb http://dl.google.com/linux/chrome/deb/ stable main". Si le serveur DNS que vous utilisez a été piraté pour pointer dl.google.com ailleurs, il pourrait envoyer le logiciel corrigé à tous ceux qui ont installé Chrome. Mais Ubuntu refuserait de les installer car ils ne pouvaient pas être signés avec la clé privée de Google. Donc, à cet égard, les AAE sont très sécurisés.

Il n'est pas possible de dire qu'un PPA est sûr ou non. Cela dépend des personnes qui l'utilisent pour distribuer des logiciels. Avec le logiciel libre, les gens peuvent regarder la source et voir si elle est sécurisée ou non. Lorsque de nombreuses personnes utilisent des archives, telles que les archives normales Ubuntu, vous bénéficiez d'une évaluation par les pairs. Les petites archives avec peu d'utilisateurs n'ont pas cela, elles sont donc moins fiables. La leçon principale est que peu importe le système que vous utilisez, vous devez faire attention lors de l'installation du logiciel.

Jo-Erlend Schinstad
la source
11

En vous appuyant sur la réponse de Luis Alvarado , vous devez être conscient de ces risques:

  • Colis malveillants: les forfaits peuvent essayer de vous nuire. Cela leur est facile car ils peuvent exécuter n’importe quel code avec des privilèges d’administrateur.
  • Logiciels de mauvaise qualité ou incompatibles: une application peut ne pas fonctionner correctement. Cela pourrait causer des dommages accidentels, par exemple en interférant avec un autre logiciel, en détruisant vos données ou en divulguant des informations confidentielles.

et vous devriez être attentif à ces facteurs:

  • Honnêteté du responsable - Le responsable peut-il tenter de vous nuire en secret?
  • Sécurité du responsable - Le responsable est-il vulnérable aux attaques d'un tiers?
  • Fiabilité du responsable - Le responsable répondra-t-il au besoin de mises à jour dans un délai raisonnable? Sont-ils engagés à maintenir le CAÉ à long terme?
  • Sécurité du référentiel —Les packages sont-ils signés par le responsable?
  • Performances du logiciel - Le logiciel est-il exempt de bogues et compatible avec votre système?
ændrük
la source
8

Les paquets sur PPA ne sont pas vérifiés pour des choses comme les logiciels malveillants. Ainsi, même si quelqu'un peut créer quelque chose comme XBMC pour vous, il peut également très facilement ajouter des logiciels espions / malveillants. C'est pourquoi vous ne devriez pas simplement ajouter un PPA aléatoire.

tgm4883
la source
peut u s'il vous plaît dire ce qui est exactement XMBC, je suis tout à fait une nouvelle ubu
kernel_panic
XBMC est un logiciel de centre multimédia. C'est un logiciel bon et sûr. Il ne l'a utilisé qu'à titre d'exemple, il pourrait s'agir de n'importe quel logiciel.
Anonyme
que peut faire un malware sous Ubuntu, il doit demander l’autorisation de tout et n'importe quoi, non?
kernel_panic
Une fois que vous l’avez installé (c’est-à-dire qu’il a la permission root de copier ses fichiers dans des répertoires système et d’exécuter des scripts personnalisés), il peut faire tout ce qu’il souhaite avec le système. C'est pourquoi il est important d'installer des packages à partir de sources fiables.
organiser
Incorrect. Lorsque vous installez un logiciel, vous êtes alors root. C'est assez facile de prendre cette permission et de commencer à faire de mauvaises choses.
tgm4883
3

Lorsque vous ajoutez ppa et installez un programme par son intermédiaire.

En gros, vous donnez la permission de résider ce programme dans la zone des exécutables autorisés (/ bin / / sbin / / usr / bin /).

Maintenant, si le programme lui-même est / a en quelque sorte un malware, le système ne s'en plaindra pas car c'est vous qui avez ajouté ppa, considérant qu'il est digne de confiance.

Lorsque les programmes proviennent des référentiels Ubuntu, ils sont d'abord vérifiés (je tiens à le dire en détail mais je ne sais pas: P), de sorte que ceux des référentiels Ubuntu sont bien sûr exempts de logiciels malveillants et de logiciels espions.

Pour tout autre ppa, c'est à vous / utilisateur de décider s'il faut lui faire confiance ou non.

Wisemonkey
la source
que peut faire un malware sous Ubuntu, il doit demander l’autorisation de tout et n'importe quoi, non?
kernel_panic
6
Lorsque vous installez le logiciel, il vous demandera l'autorisation de root (l'écran s'assombrit et vous entrez votre mot de passe). À ce stade, il peut tout faire : supprimer tout de votre boîte, installer un enregistreur de frappe, changer l'arrière-plan de votre bureau en bonjour minou, n'importe quoi .
SCdF
1
@sanjayasanjuubuntu: lors de son installation, il demande la permission de résider dans la zone exécutable. Une fois installé, il peut facilement accéder aux informations non-su. Il existe des programmes qui ont besoin d'une autorisation su pour s'exécuter. Toutefois, si le programme lui-même a des bagages supplémentaires (programmes malveillants) ajoutés lors de la création du package, il peut s'exécuter sans problème lorsque vous tapez votre mot de passe.
Wisemonkey
Les PPA pour les développeurs sont la voie la plus sûre et doivent également connaître la durée du contributeur au Launchpad. Ces facteurs garantissent un système sûr et stable utilisant des PPA pour les derniers programmes. J'ai trouvé que cet itinéraire permettait à mon LTS de fonctionner longtemps avec les nouvelles versions des programmes que j'utilise.
Arup Roy Chowdhury