É seguro compilar pacotes do GitHub e utilizá-los no Debian? [RESOLVIDO]

homemsemnome
(usa Debian)

Enviado em 11/12/2016 - 17:59h

Vejam bem, se eu compilar, por exemplo, uma interface gráfica completa direto do GitHub para o meu sistema, ela será tão segura e estável quanto a que o Debian oferece nos seus repositórios ou ela, por ser algo "de fora" do sistema, poderá ter brechas de segurança que irão deixar o meu sistema vulnerável por não estar anexada as atualizações do sistema? A versão stable do Debian poderá sofrer algum tipo de instabilidade por eu estar utilizando determinado pacote mais atualizado (versão stable) compilado a partir do GitHub?

Estou com essas dúvidas porque até hoje tive receio de instalar algo que estivesse fora dos repositórios oficiais do Debian. Sei que você encontra de quase tudo por lá, mas eu estou teorizando aqui sobre um determinado pacote que não será encontrado nos repositórios oficiais do Debian, e que portanto será necessário "trazê-lo de fora". Não que eu pretenda fazer isso, mas estou supondo aqui um cenário onde seja necessário se compilar determinado pacote. E isso não se restringe ao Debian. O que eu quero saber é se eu irei abrir brechas de segurança no sistema por ter compilado algum aplicativo ou interface gráfica.

Observação: Sei que a maioria das interfaces gráficas mais usadas são encontradas nos repositórios do Debian. Só estou utilizando-as como exemplo. E não me estou me referindo aqui a repositórios do GitHub que contenham algum tipo de código malicioso.

lipman
(usa Debian)

Enviado em 11/12/2016 - 18:27h

isso pode ser perigoso caso vc não souber a linguagem para ler o codigo do programa...
exemplo:
eu ha um tempo atraz eu baixei um script em python no github e executei em minha maquina, eu não entendo python então não conferi se tinha codigo malicioso!
o resultado disso foi 3 arquivos criados em minha pasta pessoal que não fasso a minima ideia do que seja!
formatei meu pc, e depois disso, resolvi não executar mais nada fora do site oficial do programa!
abraços!

homemsemnome
(usa Debian)

Enviado em 11/12/2016 - 18:40h

Sim, existe esse risco, mas eu estou me referindo aqui a pacotes confiáveis, que não contém nenhum código malicioso neles. Mas obrigado pela dica.

lipman
(usa Debian)

Enviado em 11/12/2016 - 18:57h

bom...
se é confiavel eu não vejo mal nenhum...
a unica coisa que pode ocorrer são bugs caso o programa tenha!
abraços!

homemsemnome
(usa Debian)

Enviado em 02/01/2017 - 20:17h

Aquele up art após algumas semanas.

Delusion
(usa Debian)

Enviado em 02/01/2017 - 20:56h

Nunca o fiz. Para mim, no debian só faz sentido o ramo stable, usado como ele realmente é; sem backports, sem repos testing/sid. Qualquer gambiarra necessária é um sinal claro de que você é o tipo de usuário que precisa de outra distro. Eu por exemplo, também uso distros com foco em pacotes atualizados, já usei arch e atualmente estou no fedora. Mas de todas que usei, confiabilidade é uma propriedade que eu atribuo somente ao debian-stable e centos.

homemsemnome
(usa Debian)

Enviado em 02/01/2017 - 21:06h

Eu não me importo com pacotes atualizados. A questão é que pode vir a não haver determinado pacote nos repositórios oficiais do Debian, e nesse caso o GitHub viria a ser uma boa opção pelo que eu pesquisei. Melhor do que adicionar um PPA do Ubuntu né. O único pacote que eu tenho atualizado no meu sistema é o Firefox via backport. De resto eu estou bem satisfeito com os meus pacotes "velhinhos". kkkkkkkkkkk

Talvez eu não devesse ter mencionar o Debian nessa pergunta. Por favor, relevem esse detalhe e considerem todas as distribuições. O que eu quero saber é se o fato de determinado pacote ter sido compilado irá afetar em algo a segurança do sistema já que ele não receberá atualizações.

XProtoman
(usa Fedora)

Enviado em 03/01/2017 - 01:52h

Se você puder instalar aplicações apenas no usuário é perfeito. Sigo esse regra de segurança a um tempo para vários programas externos a minha distribuição.

Exemplo: o Fedora vem sem lame(converter Wav para Mp3), mpg123(hoje em dia já vem no 25, para tocar mp3) e Mplayer, todos eu compilo e instalo no $HOME/Pkg (um diretório que convencionei) como usuário comum.

Programas que só são distribuídos binários como Chrome e Steam faço a mesma coisa: descompacto como usuário e os utilizo. Segundo o próprio Chrome se você usar ele sem sandbox(precisa do root) pode ser que ele fique menos seguro.

Acho que a forma como utilizo é segura, considero mais segura que instalar como root, a não ser o Chrome.

____________________
“Mas nós sabemos que a razão de a maioria estar aqui, é a nossa afinidade com a desobediência!” (Morpheus)

homemsemnome
(usa Debian)

Enviado em 03/01/2017 - 08:08h

Opa! Obrigado pela dica. Não sabia que era possível se utilizar/instalar determinado pacote sem que o mesmo fosse instalado por intermédio do super user. Mas, como eu faço esse paranauê aí? Geralmente você tem que dar um make install como root no GitHub para poder instalar o pacote no sistema. E sobre esse diretório aí que você criou no seu diretório /home, ele é um diretório comum ou você teve que dar algum tipo de permissão/parâmetro diferente para ele?

Valeu mesmo colega. =)

homemsemnome
(usa Debian)

Enviado em 06/01/2017 - 18:13h

Cara, eu te agradeço muito pela força. Até hoje eu nunca tinha ouvido falar em nenhum lugar que era possível se instalar um pacote no sistema sem a permissão de root. E olha que eu já li toneladas de artigos/matérias por aí. Enfim, eu dei uma lida a respeito disso por aí e descobri que além de ser possível compilar pacotes sem a permissão de super user, também é possível (desde que se tenha as devidas bibliotecas necessárias no sistema) se instalar pacotes binários como usuário comum mesmo.

$ dpkg -i Nome_Do_Pacote.deb --force-not-root --root=$HOME 

Pode-se também baixar o código-fonte do pacote para se compilar através do próprio APT, caso o mesmo esteja disponível nos repositórios.

$ apt-get source Nome_Do_Pacote

$ cd Nome_Do_Pacote

$ ./configure --prefix=$HOME

$ make

$ make install 

Mas, eu ainda tenho algumas perguntas para te fazer caso esteja interessado em respondê-las: por uma questão de organização, seria possível transferir as permissões do diretório /opt somente para o meu usuário comum (não sei se o diretório /opt tem alguma permissão root concedida para ele), e a partir daí utilizá-lo somente para armazenar os meus pacotes instalados sem a permissão de root? Pelo fato do diretório /home ser destinado a armazenar arquivos pessoais do usuário, eu julgo mais conveniente utilizar um diretório do sistema mesmo para isso. O que acha? Sobre a questão das bibliotecas necessárias para se rodar tal programa, eu posso instalá-las como root mesmo ou o ideal seria compilar tudo no braço como usuário comum? E outra: seria interessante dar um chroot nesse novo diretório /opt para torná-lo mais seguro ainda?

Muito obrigado mesmo cara.

Fonte dos comandos citados por mim:
https://askubuntu.com/questions/339/how-can-i-install-a-package-without-root-access

XProtoman
(usa Fedora)

Enviado em 06/01/2017 - 18:54h

Boa tarde a todos,

Fico muito feliz em ter ajudado.

Sobre esse comando do dpkg não conhecia, geralmente eu descompacto os pacotes, seja Debian(o Fedora pode instalar o dpkg) ou Red Hat, faço isso com chrome e Steam. Achei bacana esse comando, acho que vou começar a usar quando tiver uma oportunidade.

Vou lhe dar uma solução boa: porque nao criar um /opt/seu-usuario com suas permissoes, em vez de dar a permissao do /opt? Antigamente fazia assim, como deixei de utilizar o /opt acabei fazendo aquela soluçao do $HOME/Pkg.

Repetindo: Acho esse formato /opt/seu-usuario melhor do que conceder permissao ao /opt, mais a frente voce vai entender.

Minha sugestao de permissao pensando em segurança numa pasta que estara fora do HOME do usuario e a 700 que so e preciso dar ao diretorio que voce vai decidir seja ela /opt ou /opt/seu-usuario.

Para voce ter mais segurança em algum momento mesmo sendo o unico usuario da maquina vai querer ter mais de um usuario e cada um especifico para determinadas coisas.

Existem programas que voce pode querer compartilhar entre varios usuarios minha dica para usar um opt para isso.

Voce cria o diretorio /opt/compartilhado, depois concede a permissao de dono para o usuario que vai compilar e instalar, depois que tudo estiver instalado voce altera o dono e grupo de tudo para root:root, no caso chown -R root:root /opt/compartilhado

Sempre que voce for modificar algo de /opt/compartilhado, voce concede a permissao para seu usuario chroot -R usuario:usuario, realiza o que precisa fazer e depois volta tudo para o root com chroot -R root:root /opt/compartilhado.

Essas pastas compartilhadas podem ter essas permissoes:
644 - arquivos
755 - executaveis e diretorios.

O scripts de criaçao de pacotes do Slackware sao uma boa fonte de detalhes que a gente pode usar na compilaçao de programas e permissoes.

Qualquer duvida pode continuar perguntando, estou aprendendo tambem com a conversa.

Aqui faço divisao de 4 usuarios:
1 - usuario pessoal de projetos e uso diario
2 - usuario para jogos, jogos nao sao confiaveis
3 - usuario para programaçao, que usa programas externos com netbeans, java, chrome
4 - usuario para testes, programas que nao confio plenamente como mplayer e unrar

Existem no meu sistema programas que podem ser candidatos a uma /opt/compartilhado, um deles e o lame(transformar arquivos wav em mp3). Porem deixo para realizar determinada atividade em determinado usuario.

Mais uma dica: sou fa de musica, jogos, as musicas e os instaladores de jogos ficam numa pasta /dados/compartilhado, ela e do root e todos os arquivos tem permissao 444 e diretorios 555, isso permite que todos os usuarios vejam, mas ninguem modifique, garante que qualquer usuario tenha o que precise, sem alterar o que foi armazenado, ate aconselhei um usuario daqui do forum que teve problemas com PDF a fazer o mesmo.

PS: Estou falando do celular, desculpe pelos erros e problemas no texto.
____________________
“Mas nós sabemos que a razão de a maioria estar aqui, é a nossa afinidade com a desobediência!” (Morpheus)