Então, eu estava navegando na web outro dia, e me deparei com alguns lugares que queriam que eu baixasse .deb
arquivos - e como eles são instalados pelo root (e, como tal, têm os "poderes" e os recursos do root), eu não estava certeza sobre isso.
Então, eu estava navegando na web outro dia, e me deparei com alguns lugares que queriam que eu baixasse .deb
arquivos - e como eles são instalados pelo root (e, como tal, têm os "poderes" e os recursos do root), eu não estava certeza sobre isso.
Coisas a considerar:
Quão bem conhecido é o site? Por exemplo, era um blog aleatório coberto de anúncios, era um usuário aleatório em algum fórum ou era um site conhecido e respeitado?
O que ele afirma instalar? Por exemplo, ele afirma instalar um kernel ou um conjunto de ícones, mas tem apenas 1 MB de tamanho?
Quão "importante" é que você tenha o conteúdo disso .deb
?
Maneiras de testar as coisas com segurança:
Eu uso arkose
( é nos repositórios padrão
) sandboxing com minhas dívidas (e outras coisas) - use algo como isto:
sudo arkose -n -c "cd $PWD; $SHELL"
O que ele me dê uma "sandbox" (também conhecido como "YAY posso estragar!") Com acesso copy-on-write para tudo no meu computador, incluindo o meu diretório home - por isso, se o desagradável desagradável .deb
faz sudo rm -rf /*
, I DON PERDE TODOS OS DADOS!
Outra coisa que não é estressada o suficiente é fazer backups . Essas são extremamente úteis e temos muitas perguntas sobre o assunto.
Em resumo, certifique-se de pensar sobre isso e não faça o download de uma deb aleatória e instale-a.
.deb
rolo com Arquivo para ver o que há dentro. Embora eu deva dizer que baixei uma deb aleatória de um usuário aleatório em um tópico aleatório nos fóruns do Ubuntu para corrigir meus problemas com a impressora, ele funcionou.Se você estiver baixando um pacote de fontes não confiáveis ou questionáveis, fique paranóico. Em fóruns populares como o ubuntuforums.org, se um usuário fizer sua primeira postagem contendo apenas um texto breve como "instale isso, funciona para mim!", Seguido de um link, tenha cuidado com esse link e / ou instruções.
Não use pacotes binários, se possível, especialmente de fontes não confiáveis. Obtenha o código-fonte (para pacotes oficiais do Ubuntu, isso pode ser feito
apt-get source package-name
) e dê uma olhada nele.Se o pacote em questão for pequeno, pode valer a pena analisá-lo. Eu prefiro usar o terminal para isso porque eu então ter acesso rápido a outras ferramentas poderosas de linha de comando, como
ls
,find
,file
,less
,vim
,grep
,sed
,dpkg
e muitos outros. Faça uso do preenchimento de guias (ou seja, pressione Tabpara concluir comandos e nomes de arquivos), isso realmente economiza tempo!Para baixar um arquivo .deb, você pode usar o navegador, mas copiar o link e usá-lo
wget
é mais rápido, pois você já pode experimentar.Em seguida, é hora de verificar o próprio arquivo.
less
(atravéslesspipe
) pode fornecer uma visão geral rápida do conteúdo do arquivo. As teclas de seta, página para cima / baixo, página inicial / fim podem ser úteis para navegar, Qfecham o programa.Depois disso, você obtém uma visão geral das dependências do pacote e que tipo de arquivos ele possivelmente contém. Hora de extrair os arquivos e analisar o conteúdo usando
dpkg-deb
. O primeiro comando extrai a árvore de arquivos em um diretório recém-criadofs
, o segundo extraiDEBIAN
porque nenhum outro destino está especificado:Usaremos
less
novamente para analisar o conteúdo dos scripts de manutenção (ou seja, os arquivos que serão usados / executados durante a instalação (e remoção).prerm
,preinst
,postrm
,postinst
São scripts executados antes / depois da remoção / instalação que são os arquivos mais importantes para analisar Use:n
e:p
para alternar entre os arquivos Ao pressionar=
, você obtém o nome do arquivo e o número da linha atuais, bem como o número de arquivos que estão na lista.Se os scripts do pacote parecerem saudáveis, é hora de analisar o conteúdo instalado (use a conclusão de tabulação). Para scripts de shell e scripts interpretados (como Python), a análise é mais fácil (supondo que você seja conhecido com a linguagem).
Preste atenção especial aos arquivos de configuração, especialmente se eles estiverem usando diretórios como
/etc/init
(para scripts de inicialização) ou/etc/modprobe.d
(opções para carregar módulos do kernel).Para binários,
ldd
pode-se ter uma idéia de como um programa pode ser usado. O programa abaixo parece um programa gráfico que usa o OpenGL.Após certificar-se de que o pacote parece válido, você pode ir em instalá-lo no VirtualBox inicialização através de um Live CD e uso
ps aux
,top
,strace -f -o logfile.txt programname
para posterior análise.fonte