Jeder Ubuntu-Nutzer, der sich etwas mit seinem System beschäftigt, kennt sie und setzt sie wahrscheinlich auch ein: Personal Package Archives, PPAs. PPAs werden von Canonical gehostet und machen es für Entwickler einfacher, ihre Software für Ubuntu an den Nutzer zu bringen. Aber zuerst kurz: Was sind PPAs überhaupt?

PPAs sind …

Paketquellen, die eines oder mehrere Programmpakete bereitstellen. Standardmäßig sind in Ubuntu mehrere Paketquellen aktiv.

Anzeige

Diese sorgen dafür, dass Programme über die Paketverwaltung ganz einfach installiert und aktualisiert werden können. Diese Paketquellen werden von Canonical gepflegt und überprüft. Sie sind insofern sicher, als dass keine Pakete von irgendwelchen Dritten einfach so auf den Rechner des Nutzers kommen können.

PPAs helfen es Entwicklern, ihre Software zu verbreiten

PPAs sind nun wie gesagt ebenfalls Paketquellen. Diese werden allerdings nicht von Canonical, sondern von externen Entwicklern befüllt und auf dem aktuellen Stand gehalten. Wird ein PPA dem System hinzugefügt, verhält sich diese Paketquelle wie alle anderen Paketquellen auch. Sie stellt Programmpakete bereit. Aktualisierungen und Installationen von Paketen oder Programmen können nun über die Paketverwaltung verwaltet werden.

Vorteile von PPAs

PPAs haben gegenüber einfachen DEB-Paketen den Vorteil, dass eventuelle Updates ganz einfach über die integrierte Aktualisierungsverwaltung installiert werden – wie bei allen anderen Programmpaketen auch. Im Gegensatz dazu werden DEB-Pakete einmal installiert und bleiben dann auch so, wie sie installiert wurden. Updates können nicht automatisch installiert werden. Der Nutzer muss das dann eventuell manuell machen.

Gefahren von PPAs

Meiner Meinung nach wird heute teilweise zu sorglos mit PPAs umgegangen. Ist ein PPA erstmal eingebunden, bekommt ein Nutzer davon nur noch kaum was mit; das ist das Problem. Ein konkretes Beispiel für die Gefahr könnte etwa so aussehen:

Bindet der Nutzer ein PPA des Entwicklers Florian Unterhupfinger ein, gestattet er diesem Entwickler praktisch bei jeder Aktualisierung oder Installation über die Paketverwaltung den root-Zugriff auf das System. Möglicherweise bekommt der Nutzer davon selbst gar nichts mit. Solange der Entwickler immer fleißig aktuelle Pakete seines Programms baut und alles normal läuft, ist dies auch gar kein Problem.

PPAs sind praktisch, aber nicht ungefährlich

Was passiert aber, wenn …

  • Florian Unterhupfinger mutwillig oder aus Versehen „böse Software“, wie Viren oder trojanische Pferde ins PPA stellt?
  • Florian Unterhupfinger mutwillig oder aus Versehen kaputte Software für wichtige Systempakete anbietet, woraufhin das System unbenutzbar wird? Man muss immer beachten, dass es für den Entwickler möglich ist, nicht nur wie normalerweise das Programmpaket zu aktualisieren, sondern auch alle anderen Pakete des Systems upzudaten.
  • … jemand anderes zu den Zugangsdaten von Florian Unterhupfinger kommt und von da an volle Gewalt über den Inhalt des PPAs hat?

Risiken minimieren

Natürlich sind die Beispiele da oben ein Worst Case-Szenario, denkbar wäre so etwas aber allemal. Was kann man also machen, um solche Risiken zu minimieren?

  1. Je weniger PPAs, desto besser: Nicht nur aus Gründen der Sicherheit ist es besser, nicht für jedes billige Tool ein PPA zu installieren. Auch aus Gründen der Systemstabilität ist es besser, bei den von Canonical und Debian-Mitgliedern-gepflegten Paketen zu bleiben.
  2. PPAs nur von vertrauenswürdigen Quellen verwenden. Bindet PPAs nur dann ein, wenn die Quelle dieser vertrauenswürdig ist. Wird ein PPA von offiziellen Wine- oder LibreOffice-Mitarbeitern angeboten: Gut. Bei Paketquellen von irgendwelchen Hacker-Seiten würde ich dagegen aufpassen ;-).
  3. Je mehr Menschen ein PPA benutzen, desto schneller können Probleme erkannt werden. Wird ein PPA von Tausenden von Menschen eingesetzt ist es sehr wahrscheinlich, dass ein Problem oder eine Unregelmäßigkeit der Paketquelle schnell genug von jemandem erkannt werden kann, bevor man selbst ein Problem damit bekommt. PPAs, die nur von einzelnen Personen verwendet wird, würde ich dagegen besser meiden.

[Bilderquelle]

Anzeige


34 Kommentare

  1. 1. Man kann Paketquellen auch auf bestimmte Pakete beschränken http://wiki.ubuntuusers.de/Apt-Pinning

    2. Du kannst dir auch relative einfach deine eigene Version eines Programms aus den Paketquellen (src) kompilieren 😉 z.B.: http://suckup.de/linux/ubuntu/chromium-mit-gcc-4-5-bauen/

    3. Persönlich finde ich das User-Repository von ArchLinux

  2. 1. Man kann Paketquellen auch auf bestimmte Pakete beschränken http://wiki.ubuntuusers.de/Apt-Pinning

    2. Du kannst dir auch relative einfach deine eigene Version eines Programms aus den Paketquellen (src) kompilieren 😉 z.B.: http://suckup.de/linux/ubuntu/chromium-mit-gcc-4-5-bauen/

  3. Sorry für den double-post … Kommentieren im Zug, via Android ist nicht wirklich komfortabel 😛

    Mfg Lars

  4. Ich hatte mal wirklich viele PPAs, aber nach einem Notebook-Wechsel hab‘ ich festgestellt, dass ein Großteil der benötigten Software mittlerweile auch in den Repos war.

    Wie lang‘ das schon der Fall war, kann ich gra nicht sagen – wohl aber, dass ich diese Altlasten ohne den Rechnrwechsel auch heute noch hätte …

    Hier muss man sich also selbst mal anstupsen und ausmisten. 🙂

    Grüße,
    ralf

  5. ./configure ; make ; make install

  6. Zu aufwendig, zu kompliziert und übergeht das Konzept der Paketverwaltung.

  7. Ja, den typischen Dummbuntuianer überfordert es wahrscheinlich…

    PPAs sind zur Paketverwaltung ungeeignet.

  8. Ich mach nur in der Zwischenzeit nützlichere Sachen …

  9. Warum kannst du das nicht gleichzeitig?

  10. Man könnte ja mehrere Sachen gleichzeitig machen, aber neben der Tatsache, dass ich meinen Paketmanager gern hab, ist Multitasking inneffizient.

  11. Mehr als 1 Programm gleichzeitig kannst du auch nicht installieren.

    Aber du kannst mehrere gleichzeitig kompilieren.

  12. Es geht darum, dass ich in der Zeit, die ich für’s Kompilieren brauche, bessere Sachen zu tun habe. Jetzt gerade hab ich auch was bessers zu tun, von daher war das mein letzter Beitrag zu diesem „Thema“, wenn man es so nennen will. Du darfst aber gerne weitermachen, wenn es dir hier so gefällt.

  13. Du kannst mir sicher erklären, wieso „./compile ; make ; make install“ deiner Meinung nach mehr Zeit beansprucht als das Hinzufügen, Aktualisieren und Installieren eines neuen PPAs bzw. aus einem neuen PPA? Lass dir Zeit…

  14. Gerade für Anfänger ist das kompillieren zu kompliziert. Gerade wenn Fehler kommen (ist nämlich nicht unüblich) wird’s schon schwierig.

  15. Aus Fehlern kann man lernen.

    Wer nicht bereit ist, sich mit wesentlichen Systemgrundlagen wie Kompilieren zu befassen, der sollte die Finger von Unix und -Klonen lassen.

  16. Die Frage ist aber: Muss man selber kompillieren? (Die Betonung liegt hierbei auf „müssen“)

    Es gibt genügend andere Wege, Pakete zu installieren. Es muss ja kein PPA sein.
    BTW: Jetzt interessiert es mich doch: Was spricht eigentlich dagegen PPAs aus vertrauenswürdigen Quellen zu installieren? 😉

  17. Nö, muss man nicht, aber wenn ihr alle Klickibunti wollt, warum verwendet ihr dann überhaupt Linux und kein Windows?

    Was gegen PPAs spricht? Sie sind unnötig umständlich zu pflegen.

  18. Zuerst: Die Paketverwaltung (PPAs) wird mich – sei sie noch so schlecht – nicht mehr dazu bringen Windows zu benutzen. Lieber verwende ich gar kein OS mehr… (Spaß beiseite).

    Und was bitte muss man bei PPAs pflegen, außer der Einrichtung?

  19. Genügt das nicht?

    Unter Debian hab‘ ich mit „Repositorys“ weit weniger Aufwand als unter PPA-basierten Distributionen; die ich daher auch tunlichst meide. Scheußlich.

  20. to be continued…

  21. Pingback: Google Cloud Print unter Ubuntu einrichten | Softwareperlen

  22. „Nö, muss man nicht, aber wenn ihr alle Klickibunti wollt, warum verwendet ihr dann überhaupt Linux und kein Windows?“

    Also ernsthaft, solch provokanten Fragen sind doch quatsch. Gnome, KDE, XFCE und LXDE sind alle mehr oder weniger Klickibunti. Ich arbeite in letzter Zeit häufiger im Terminal, trotzdem möchte ich meinen Launcher nicht missen, der so lustig wackelt, wenn ich das Firefox-Symbol anklicke. Ja ich mag, nein ich liebe Klickibunti und auch deshalb liebe ich ein freies Betriebssystem.
    Und ein PPA aus vertrauenswürdiger Quelle hält ein installiertes Programm aktuell. Wenn ich es selbst kompiliere, muss ich mich selbst informieren und ggf. wieder kompilieren. Mal abgesehen davon, dass es einfach mal eeeewig dauert, ein umfangreiches Programm zu kompilieren.

  23. Was genau hat „Klickibunti“ mit „Gründe für ein freies Betriebssystem“ zu tun? Die unfreien Betriebssysteme sind zumeist mehr Klickibunti als KDE es je sein könnte.

  24. @tux: Wie kann ein Betriebssystem mehr Klickibunti als KDE sein bitte?

  25. Geht ganz leicht – anscheinend.

  26. Details gibts wie immer keine bei deinen Aussagen, oder?

  27. Bitte präzisiere die Frage.

  28. Du sollst mir einfach sagen, wie ein Betriebssystem mehr Klickibunti sein kann „als KDE es je sein könnte“.

  29. Was ist das denn für eine Frage? In welcher Einheit hättest du die Antwort gern? Wie, „wie“? Verglichen mit der Oberfläche vom Grusel-OSX zum Beispiel ist KDE beinahe schon konservativ.

  30. Was ist an KDE weniger Klickibunti als bei OS X? Wer so eine Aussage macht, muss sie auch begründen können. Ich hab sie nicht gemacht.

  31. Hast du beides mal mehr als nur auf Bildern angesehen? Hole dies bitte nach und frage dann erneut.

    Mit Verlaub, deine Frage ist so albern wie „was ist an einem Auto lauter als an einem Skateboard?“. Das kann ich dir nicht /beweisen/, das musst du schon selbst sehen.

  32. Wir lernen daraus: „Wer seine Behauptung nicht begründen kann, sollte sie besser nicht aufstellen.“

  33. Wir lernen daraus: Du willst nur dümmlich provokative Fragen stellen und bist an einer Antwort nicht interessiert.

    Bitte trolle dich zurück ins Heise-Forum und unterlasse weitere Störungen.

  34. Ich weiß ja nicht. Aber wenn hier im Blog regelmäßig trollt, dann ist das der mit dem roten Avatar. Auf jeden Fall hab ich noch keinen konstruktiven Beitrag von dir gelesen.

  35. Was genau ist an deinen Kommentaren hier konstruktiv? Du versuchst verzweifelt (und vergebens), mit nicht fundierten Fragen meine berechtigte Kritik an Windows und Mac OS X zu untergraben, weichst Verständnisfragen aus und erdreistest dich dann auch noch, MICH der Trollerei zu bezichtigen.

    „Sagt der Misthaufen zur Fliege: ‚Du stinkst!'“ 😉

    Weil ich gerade gute Laune habe, formuliere ich den Kommentar mal ein wenig um, eventuell hilft dir das beim Verständnis: Mac OS X mit seinen hüpfenden Symbolen und Mauszeigern und seinen Zoom- und Wischeffekten an jeder möglichen und unmöglichen Stelle dürfte zurzeit die Spitze der Evolution des Klickibunti darstellen, insofern teile ich die Auffassung, wer Klickibunti mag, sei bei freien Systemen am besten aufgehoben, keinesfalls.

    Ich weise darauf hin, dass etwaige Folgetrollereien deinerseits von mir nicht weiter beachtet werden. Solltest du noch etwas wissen wollen, versuch’s konstruktiv. Bis dahin: Fisch.

  36. Pingback: Wenn PPAs nicht das machen, was sie sollen | picomol.de

  37. Pingback: Ubuntu GNOME Remix 12.04 angetestet | picomol.de

  38. Pingback: GNOME 3.8 in Ubuntu 13.04 installieren ‹ picomol.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.