Repozitoriji

[rkaracic]

Bok,

Imam par pitanja u vezi eksternih repozitorija (sa launchpada npr.).

Koliko su oni sigurni ? Da li je moguće da jedan krivi paket sa nekog repozitorija skrši cijeli sustav ?

Da li je uopće pametno dodavati repozitorije (pa makar oni službeni bili, npr. od libreoffice-a ili googlea) ?

Koje biste mi vi repozitorije savjetovali da jedino dodajem (naravno, ako bi mi trebali), a kojih da se klonim ?

Malo sam guglao po tom pitanju, ali su mi ili tekstovi malo prenapredni bili ili bi jedan dio teksta bio protiv repozitorija pa u drugom dijelu počne hvaliti itd.

Nekako volim da su mi aplikacije uvijek up-to-date (malo zvuči kao fetiš), ali opet nebi volio da si skršim sustav.

[Abzeenth]

Hm, jako dobra pitanja

Koliko su oni sigurni ? Da li je moguće da jedan krivi paket sa nekog repozitorija skrši cijeli sustav ?

Sigurnost pojedinog repozitorija nije baš moguće u potpunosti utvrditi, ali možeš se voditi nekim osnovnim, zdravorazumskim načelima - ako repozitorij održava netko iz službene ekipe razvijatelja, odnosno netko tko je direktno povezan s projektom, šanse su da je sasvim siguran.

Ako želiš dodati neki third-party ili "osobni" repozitorij, provjeri koliko ima paketa, koje su verzije i koji programi. Ako ti se čini da ih je "sumnjivo" malo, tipa ima samo dva paketa, ne moraš ga dodavati...ali možeš. Možeš i proguglati ime (vlasnika) repozitorija da vidiš ima li kakvih negativnih napisa o njemu na Internetu.

Jedan "krivi" paket može narušiti stabilnost sustava ako se radi o nekom "sistemskom paketu", u nedostatku boljeg izraza. Tipa, ako instaliraš neki lib, ili neki paket koji je povezan s desktop environmentom (nešto ključno za KDE, Gnome, Unity...). Takvi paketi će obično za sobom povući hrpu dependencyja, odnosno zahtijevat će noviju verziju drugih libova i ključnih paketa, i tako se vrlo lako možeš upetljati u dependency hell

Međutim, ako instaliraš samo novije verzije pojedinog softvera (Firefox, LibreOffice, Gimp...), ti paketi ne bi trebali imati utjecaj na čitav sustav. Eventualno će ti se skršiti taj komad softvera, ali to lako popraviš uklanjanjem te strgane i instalacijom starije verzije.

Da li je uopće pametno dodavati repozitorije (pa makar oni službeni bili, npr. od libreoffice-a ili googlea) ?

Pametno je ako znaš zašto to radiš Ja, recimo, imam dodane neke "nestandardne", ne-defaultne repozitorije jer sam htjela imati novije verzije softvera od onih koje se nude za moju distribuciju. Ili sam htjela instalirati neke programe kojih nije bilo u repozitorijima distribucije, a nisam ih htjela ručno kompajlirati, već sam pronašla repozitorije njihovih developera i dodala ih, tako da mi automatski dolaze nadogradnje za te programe.

Pri dodavanju tih "nestandardnih" (opet, u nedostatku boljeg izraza) repozitorija trebaš paziti na to jesu li predviđeni za netestirane, beta, unstable i slične verzije paketa, ili samo pružaju stabilne, ali novije verzije od onih u repozitorijima distribucija. Ako je ovo prvo slučaj, možda je bolje da izbjegavaš takve jer bi povlačenje nadogradnji iz njih moglo rezultirati nestabilnošću tih programa.

Većina "velikih" projekata ima repozitorij za stabilne verzije odvojen od onog u koji stavljaju najnovije, netestirane, development ili nightbuilds verzije. Najbolji primjer toga je vjerojatno Firefox. Onda, recimo, KDE ima Backports repozitorij u koji stavljaju nove verzije KDE-a za stare verzije Ubuntua i derivata - znači, backportaju ih tako da korisnici starijih verzija mogu imati najnoviji KDE, koji inače ne bi došao u njihove defaultne repozitorije.

Koje biste mi vi repozitorije savjetovali da jedino dodajem (naravno, ako bi mi trebali), a kojih da se klonim?

Odgovor na prvi dio pitanja ovisi o tome što želiš instalirati. Nisam još susrela neki "loš" repozitorij, pa nemam savjet za ovo drugo. Možda će ti netko drugi znati napisati nešto korisnije i naravno, ispraviti me ako sam nešto pogrešno napisala.

[calisto053]

Teoretski, uvijek postoji opasnost u vidu instalacije zlonamjernog koda ili neispravnih/nedovoljno testiranih paketa.
Za razliku od windowsa, linux ima puno striktniju sigurnosnu politiku. Za sve što se nalazi izvan službenih repozitorija razvojni tim distre koju koristiš ti ne može garantirati pouzdanost i sigurnost, dakle ti izvori druge i treće strane se smatraju nesigurnima.
S druge strane, upravo politika otvorenog koda omogućava uvid u izvorni kod, promjene i kvalitetno testiranje (primjer: rad na tvojoj postinstall skripti). Isto tako, za razliku od windowsa, aplikacije su u linuxu odvojene o sustava, pa nema straha od "kršenja čitavog sustava".
U praksi, stanje je ipak malo kompliciranije: razvojni tim razvija pojedinu distibuciju, ali ne nužno i grafičko okruženje i njene programe, a ti želiš baš najnovije verzije! Neke aplikacije vrlo brzo ulaze u službene repozitorije (npr. Firefox), dok druge poprilično zaostaju (npr. LibreOffice). Naravno da je uvijek seksi imati najsvježije verzije, ali ne treba ni pretjerivati (tzv. bleeding edge sustav - npr. Fedora). Ovaj problem najlakše rješiš dodavanjem repozitorija druge (npr. nadogradnje DE-a, ako si ga naknadno instalirao) ili treće strane (pojedine aplikacije). Najpoznatiji primjer je PPA (za ubuntoide).
Tijekom godina sam dodavao svakakve PPA-ove i nikad nije bilo problema. Kako ih dodaš, tako i ukloniš. Trenutno imam aktivne za SMPlayjer, LibreOffice i Oracle Javu. Ako je neki PPA objavljen na Launchpadu, onda znaš da je siguran

Abz ti je prethodno lijepo objasnila za ostale testing, beta, unstable ili nightbuilds repozitorije

[shrike]

ppa i ini osobni repozitoriji su po definiciji nesigurni. službeni repozitoriji su jedini koji se mogu smatrati sigurnima u smislu da održavatelji nisu namjerno stavljali razno razni malware (osim onog koji im je tako naredila država). To i je ono: s obzirom na snowdena i sve što iz toga proizlazi esencjalno ni jedan paket ne možete smatrati sigurnim, uključujući sveukupni sw na vašem hardveru (uključujući indvidualne komponente) jer nitko ne može reći da proizvođačima nije naređeno da stave tamo razna čuda i da o tome ne smiju nikome ništa reći.

[Abzeenth]

ppa i ini osobni repozitoriji su po definiciji nesigurni. službeni repozitoriji su jedini koji se mogu smatrati sigurnima u smislu da održavatelji nisu namjerno stavljali razno razni malware (osim onog koji im je tako naredila država). To i je ono: s obzirom na snowdena i sve što iz toga proizlazi esencjalno ni jedan paket ne možete smatrati sigurnim, uključujući sveukupni sw na vašem hardveru (uključujući indvidualne komponente) jer nitko ne može reći da proizvođačima nije naređeno da stave tamo razna čuda i da o tome ne smiju nikome ništa reći.

Mislim da bi krajnjem korisniku, a pogotovo onom "prosječnom" ili čak početniku, ovaj tvoj post bio vrlo zbunjujuć i ne baš jako koristan, a da ne spominjem i da iz njega blago i tek suptilno izvire paranoja i sklonost teorijama zavjera.

Kako je PPA "po definiciji" nesiguran, ako ga održava ista ekipa koja izrađuje neki softver? Recimo, LibreOffice ima svoj službeni PPA, i nije jedina takva aplikacija.

Ne kužim ovo, ajmo širiti FUD i zbunjivati nove korisnike pozivajući se na Snowdena (??)?
Jasno je da postoji određeni rizik pri instalaciji softvera i od korisnika se očekuje da preuzme neku odgovornost i da ne klika naslijepo na svaki Accept, ali isto vrijedi i za softver za Windowse - zapravo, tamo je još gore jer ne možeš vidjeti izvorni kod.

Tvoj savjet je onda da se ne koristi ništa osim službenih repozitorija? Iako ni oni nisu sigurni i ništa na svijetu nije sigurno? Ako je sve tako nesigurno, onda je zapravo svejedno što ćeš koristiti i slobodno možeš instalirati stvari iz bilo kojeg repozitorija?

[shrike]

Da, tako je. Sa perspektive sigurnosti trenutno upravo zbog snowdenovih dokumenata ne možeš vjerovati ničemu. NIje to FUD, zavjera ili paranoja nego moderna činjenica (vjerovala ili ne, ali firme koje imaju odjele za sigurnost o tome jako vode brigu). PPA je po definiciji nesiguran jer je privatni. to je čitava poanta PPA: svatko može staviti u njega što želi.

[dinosb]

Da, tako je. Sa perspektive sigurnosti trenutno upravo zbog snowdenovih dokumenata ne možeš vjerovati ničemu. NIje to FUD, zavjera ili paranoja nego moderna činjenica (vjerovala ili ne, ali firme koje imaju odjele za sigurnost o tome jako vode brigu). PPA je po definiciji nesiguran jer je privatni. to je čitava poanta PPA: svatko može staviti u njega što želi.

Shrike, podforum je za linux pocetnike.. a i plus; ako je za suditi prema tvom profilu, ti si ranjiv na heartbleed

Sluzbeni PPA za libreoffice je siguran onoliko koliko je sigurna sama aplikacija koja je dosla predinstalirana na samom sustavu, jer je iz istog prepakirana u repos distribucije, sto znaci da nijedan sustav s libreofficeom nije siguran jer je original iz repoa koji pripada developeru aplikacije.

Istina je da nista nije sigurno 100%, nijedan sustav, nijedna aplikacija. Ali onda s druge strane, biti paranoican oko takvih stvari je suvisno. Sto ako Pero nabrije openbsd, kriptira disk i zakljuca freebios na hardveru koji je sam napravio i onda ga sutra pokupi autobus na pjesackom...

Point is, postoji mjesto za takve rasprave, ali to nije u podforumu za pocetnike

@rkaracic - s obzirom da je ubuntu 14.04 jos nov, jos ti se ne isplati dodavati nikakve repozitorije sa strane (ako je to samo radi apdejta). Omjer kvalitete onoga sto radi i sto imas naspram sanse ce doci do loma aplikacija i potencijalno, cijelog sustava ako nesto dodas, je takav da ce sigurno nesto otici po zlu. Ubuntu ima politiku da donosi najnovije testirane aplikacije, pogotovo u prvih par mjeseci, pa i godinu, tako da si miran po tom pitanju. Kao novom korisniku, vjerojatno ti je bitniji stabilni sustav od nove verzije, recimo, libreofficea koja je izasla vise radi razvoja, nego radi novih mogucnosti.

[shrike]

Imam 7.5 tako da nisam heartbleed Kada si to već spomenuo, nadam se da shvaćaš da heartbleed nije JEDINA stvar oko koje treba brinuti u OS-u. Nego, da, upravo jest mjesto za početnike jer nema smisla da se ljudi educiraju netočno, i onda šire okolo laži (tj netočne informacije) jer se mi nismo potrudili stvari pojasniti. MOja je želja da ljudi od početka budu svjesni čitave situacije, a to je da što "dalje" ideš od službenih repoa to si manje siguran.

PS
gaženje busom nema veze sa sigurnosti računala i predstavlja reductio ad absurdom koji čak ni veze nema sa topicom.

[calisto053]

Point is, postoji mjesto za takve rasprave, ali to nije u podforumu za pocetnike

Shrike, kao system i web administrator, zasigurno ima razloga za (blagu) paranoju

[Abzeenth]

Nego, da, upravo jest mjesto za početnike jer nema smisla da se ljudi educiraju netočno, i onda šire okolo laži (tj netočne informacije) jer se mi nismo potrudili stvari pojasniti. MOja je želja da ljudi od početka budu svjesni čitave situacije, a to je da što "dalje" ideš od službenih repoa to si manje siguran.

To je sasvim u redu, ali onda lijepo pojasni o čemu se radi i zašto je tako, umjesto polukoherentnog naklapanja o zloj državi. Vidiš da je čovjek u prvom postu napisao da je već čitao o tome, ali su ga neki tekstovi na Internetu zbunili ili mu bili prenapredni. Pa onda u skladu s tim - educiraj.