Linux. Dlaczego NIE korzystać z PPA. Instalacja oprogramowania, Snap i Flatpak a bezpieczeństwo systemu

Instalacja aplikacji nie jest niczym skomplikowanym w Linuksie. Większość potrzebnych programów znajduje się w domyślnym repozytorium, a nawet jeżeli nie – z pomocą przychodzą pakiety Snap, Flatpak, Appimage czy porady z internetu zawierające instrukcje prostej instalacji po dodaniu dodatkowego repozytorium PPA.

Właśnie – te ostatnie. Rzecz jest banalna – wklejamy dwie komendy do terminala i gotowe. Wyglądają one w ten sposób:

sudo add-apt-repository ppa:slimbook/slimbook
sudo apt install slimbookbattery

Pierwsza komenda dodaje repozytorium, druga instaluje aplikację. Bułka z masłem. Wielu użytkowników nie wie natomiast z czym wiąże się dodanie repozytorium do systemu w kwestii bezpieczeństwa.

Terminal sprawdzający repozytoria w trakcie aktualizacji

Czym jest repozytorium?

W największym skrócie i uproszczeniu jest to miejsce, w którym znajdują się pakiety. Jeżeli chcesz zainstalować program VLC, odpowiednie pakiety składające się na program są pobierane z repozytorium na Twój komputer.

Podobnie działa mechanizm aktualizacji. Komputer porównuje wersje pakietów w repozytorium z tymi na Twoim komputerze. Jeżeli w repozytorium znajduje się program o wyższej wersji niż zainstalowany u Ciebie, np. VLC w wersji 1.0 podczas gdy Ty posiadasz VLC 0.9, zostanie on zaktualizowany.

Domyślnie system zawiera repozytoria, którymi opiekują się twórcy dystrybucji. W przypadku dużych dystrybucji takich jak Ubuntu możemy mieć pewność, że posiadają one odpowiednie procedury bezpieczeństwa, a także wiele osób kontrolujących to, co w repozytoriach się dzieje.

Co jest nie tak z PPA?

Problem z PPA (skrót od Personal Package Archive), czyli prywatnymi repozytoriami, polega na tym, że mają one takie same uprawnienia do Twojego komputera jak repozytoria systemowe. W przypadku PPA, którymi opiekuje się jeden człowiek lub garstka nieznanych nam osób rodzi to ryzyko zarówno dotyczące bezpieczeństwa systemu, jak i jego stabilności (chociażby problemy z nieudaną aktualizacją systemu wynikają często z bałaganu, jaki narobiło trefne PPA)

Prosty przykład – posiadamy 12 aktywnych repozytoriów w systemie. Wystarczy, że tylko jedno z nich – nawet jeżeli użyliśmy go tylko do zainstalowania prostej aplikacji do notatek – posiadałoby zainfekowany lub uszkodzony plik, aby wyrządzić nam szkodę.

Nawet jeżeli bezpośrednio osoby posiadające i zarządzające dostępem do konkretnego PPA nie miałyby złych intencji, zawsze istnieje ryzyko, że same staną się ofiarami ataku i dostęp do repozytorium uzyska osoba nieuprawniona.

Oczywiście ryzyko związane z posiadaniem PPA w systemie jest uzależnione od ich typu – można założyć, że PPA dużych projektów i firm są na tyle bezpieczne, na ile tylko mogą być. Dodanie PPA projektu Wine, Spotify czy Signala nie wiąże się z poważnym ryzykiem, choć oczywiście z prostego rachunku prawdopodobieństwa wynika, że każde kolejne źródło je zwiększa.

Jakie są alternatywy?

Powyżej widać, że PPA nie nadają się jako rozwiązanie do aktualizowania oprogramowania w dzisziejszych czasach, gdy bezpieczeństwo systemów i danych jest ważniejsze niż kiedykolwiek.

Z tego też powodu powstały inicjatywy takie jak Snap i Flatpak, które nadal posiadają swoje problemy, ale są bezpieczniejszym i prostszym rozwiązaniem dla przeciętnego użytkownika niż dodawanie PPA. Przeczytasz o nich więcej tutaj:

Co jeżeli program, który chcę zainstalować jest dostępny tylko w PPA?

Pobierając jakikolwiek program z internetu, niezależnie czy jest to plik .deb, .rpm czy .exe na Windowsie musimy zaufać, że źródło jest sprawdzone. Podstawowa różnica między nimi a dodaniem repozytorium jest fakt, że w ich przypadku ryzyko dotyczy tylko konkretnego momentu instalacji – w przypadku repozytorium aktywnego w systemie natomiast to ryzyko jest obecne bez przerwy, przy każdym sprawdzaniu aktualizacji.

Dlatego w przypadku programów, które nie wymagają regularnych aktualizacji (w przeciwieństwie do np. przeglądarek), rozwiązaniem jest dodanie PPA jedynie na moment instalacji.

Następnie wyłączyć dodane repozytorium możemy za wybierając z menu aplikacji Oprogramowanie, przechodząc do karty Inne oprogramowanie i odznaczając dodane chwilę wcześniej repozytorium.

Zainteresowani edycją manualną źródeł mogą tego dokonać w pliku /etc/apt/sources.list

Jeżeli to możliwe, bezpieczniejszym rozwiązaniem jest korzystanie z domyślnych repozytoriów systemowych lub pakietów Snap czy Flatpak – posiadają one możliwość odizolowania (sandbox) aplikacji od wrażliwych elementów systemu , a także dają nam opcję modyfikowania uprawnień programu.

Decydując się na korzystanie z PPA warto robić to z głową i mieć świadomość z czym się to wiąże.


Jeżeli podoba Ci się ten wpis i interesuje Cię technologia ze szczególnym uwzględnieniem prywatności, cyfrowego bezpieczeństwa, wolnego oprogramowania i kwestii etycznych zamiast sponsorowanych artykułów o kolejnych produktach, które „musisz mieć” – koniecznie zostaw polubienie na FB, dodaj GeekOrganic do subskrypcji RSS lub po prostu podaj dalej ten lub inny wpis – dla niezależnych blogów takich jak GeekOrganic to wielka rzecz. Dzięki!

Linki do social media GeekOrganic:

4 myśli na temat “Linux. Dlaczego NIE korzystać z PPA. Instalacja oprogramowania, Snap i Flatpak a bezpieczeństwo systemu

  1. Bardzo fajny i potrzebny wpis. Od siebie mogę dodać, że na przykład w Linux Mint dodane repozytoria możemy znaleźć w: „Zasoby oprogramowania”. Tam warto zaglądnąć w „Osobiste Archiwum Pakietów (PPA), „Repozytoria dodatkowe” i „Klucze autoryzacji” i w razie wątpliwości podjąć działania.

    Polubione przez 1 osoba

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s