Bonjour,
Est ce que les logiciels installé autre que ceux des packets dèbian ou synaptic sont plus risqués ?
Avoir des virus ou plus de bugs(moins adapté à notre version de linux ) ?
Pour être tranquille faut toujours passé par apt-get ou aptitude ou synaptic c’est cela ?
Merci
Y a t’il une site ou sont inscrit tous les logiciels que l’on peut installer sur debian,
par catègorie :
system,
jeux;
rèseaux:
etc… avec leur packets à installer …
Salut,
De l’avis d’un néophyte, si le logiciel n’est pas présent dans les dépôrs (*), je cherche le code source, et je vois si je peux le compiler ( dépendances nécessaires … )
Et je finis par un :
checkinstallPour qu’il me fabrique un paquet, qui sera géré par apt ( utile pour le supprimer ) .
[quote=“linuxxx”]Y a t’il une site ou sont inscrit tous les logiciels que l’on peut installer sur debian,
par catègorie :
system,
jeux;
rèseaux:
etc… avec leur packets à installer …[/quote]
Dans synaptic, tu peux filtrer les paquets par catégorie ( multimedia, internet … ) et +
Perso, je cherche les paquets dans synaptic ( = leur nom exact ) et je les installe en ligne de commande dans un terminal, voir en mode " recovery " si ça touche trop l’interface graphique ( gnome ) .
N.B : enlève l’accent à debian dans le titre . 
color=#BF0080[/color] : y’a quand même beaucoup de paquets chez debian …
Les paquets des dépôts Debian sont quand même souvent adaptés aux spécificités de Debian.
Un logiciel compilé à partir des sources :
Mais bon, (2) et (3) relèvent du détail. Le seul truc vraiment chiant c’est (1) car tu es obligé de vérifier toi-même les mises à jour sur l’upstream.
Et bien entendu y’a le problème de la confiance : si tu compiles un logiciel obscur trouvé on ne sait où, il vaut mieux d’abord inspecter les sources pour vérifier qu’il ne fait pas n’importe quoi.
[quote=“linuxxx”]Est ce que les logiciels installé autre que ceux des packets dèbian ou synaptic sont plus risqués ?
Avoir des virus ou plus de bugs(moins adapté à notre version de linux ) ? [/quote]
C’est à apprécier au cas par cas. Le plus souvent, ce sont des problèmes de dépendances qui peuvent se poser, avec des dépendances manquantes ou une incompatibilité avec les versions des dépendances installées.
Il y a ça :http://www.debian.org/distrib/packages.fr.html
Il y a mieux : le gestionnaire de paquets Synaptic, que tu dois trouver quelque part dans le menu (sous Gnome : Système - Administration). Installe le paquet synaptic si tu ne l’as pas.
Ou la logithèque (paquet software-center)
Si on peut installer des paquets avec ces outils, il est préférable d’utiliser aptitude pour des désinstallations propres.
Une chose me chiffonne, quid (pour vous) des dépôts exotiques? Vous savez, ces obscurs dépôts maintenus par on ne sait qui, et qui pour certains proposent des “paquets” ultra pratiques clic-clic… Ces dépôts n’étant pas “validés” par l’équipe Debian, c’est la porte ouverte à toutes les fenêtres…
Prenons un exemple: un membre très actif d’un forum “réputé” héberge un dépôt “at home”, il joui d’une très bonne réputation sur le forum et du coup par ricochet d’une bonne réputation “tout court”… Si cette personne est intègre, les paquets qu’il fournira via son dépôt seront sains, par contre, si un jour il nous pète un câble/devient corrompu/vicelard/que-sais-je, quid de l’intégrité des paquets qu’il héberge… (non non, ce n’est pas une attaque en règle contre fran.b, bien au contraire… 
)
[quote=“Num’s”]Une chose me chiffonne, quid (pour vous) des dépôts exotiques? Vous savez, ces obscurs dépôts maintenus par on ne sait qui, et qui pour certains proposent des “paquets” ultra pratiques clic-clic… Ces dépôts n’étant pas “validés” par l’équipe Debian, c’est la porte ouverte à toutes les fenêtres…
Prenons un exemple: un membre très actif d’un forum “réputé” héberge un dépôt “at home”, il joui d’une très bonne réputation sur le forum et du coup par ricochet d’une bonne réputation “tout court”… Si cette personne est intègre, les paquets qu’il fournira via son dépôt seront sains, par contre, si un jour il nous pète un câble/devient corrompu/vicelard/que-sais-je, quid de l’intégrité des paquets qu’il héberge… (non non, ce n’est pas une attaque en règle contre fran.b, bien au contraire… )
[/quote]
En gros quid des PPA ?
Pour ma part ça me renvoie au message de prudence qu’a renvoyer Syam sur le fait qu’un tour sur le code source des paquets et donc de vérifier le “changelog” du paquet pour s’assurer que c’est conforme.
Voilà pourquoi même si je suis sportif je ne compile que le strict minimum (y compris pour du serveur web ou parfois les paquets sont assez anciens et peuvent poser des problèmes).
Des paquets pratiques, peuvent être proposer après aux équipes Debian donc si le paquet est réellement propres et conformes à ce que Debian exige pour ces paquets il n’y aura pas de souci.
Maintenant pour en revenir à la première interrogation je ne fais clairement pas confiance à un PPA ou à un dépôt exotique (hormis le mien, et encore que je connais le loustic 
)
[quote=“Num’s”]Une chose me chiffonne, quid (pour vous) des dépôts exotiques? Vous savez, ces obscurs dépôts maintenus par on ne sait qui, et qui pour certains proposent des “paquets” ultra pratiques clic-clic… Ces dépôts n’étant pas “validés” par l’équipe Debian, c’est la porte ouverte à toutes les fenêtres…
Prenons un exemple: un membre très actif d’un forum “réputé” héberge un dépôt “at home”, il joui d’une très bonne réputation sur le forum et du coup par ricochet d’une bonne réputation “tout court”… Si cette personne est intègre, les paquets qu’il fournira via son dépôt seront sains, par contre, si un jour il nous pète un câble/devient corrompu/vicelard/que-sais-je, quid de l’intégrité des paquets qu’il héberge… (non non, ce n’est pas une attaque en règle contre fran.b, bien au contraire… )
[/quote]
Tu veux parler des dépôts Marillat ?
[quote=“debianhadic”]Tu veux parler des dépôts Marillat ?[/quote]En effet ça pourrait, mais pas seulement… je veux simplement dire que tant qu’on reste sur les dépôts OFFICIELS Debian on ne risque pas grand chose au niveau des virus/logiciels malveillants, par contre, si on s’amuse à piocher n’importe où, il faut pas se plaindre si on a des problèmes derrière…
C’est un peu la même avec windo*… à télécharger d’obscurs outils qui économisent trois cliques ou deux lignes de commandes qui ont été pondu par je ne sais qui et qui n’ont pas été “décortiqués” par d’autre développeurs, et ben on risque encore plus de se prendre des merdes…
[quote=“Num’s”][quote=“debianhadic”]Tu veux parler des dépôts Marillat ?[/quote]En effet ça pourrait, mais pas seulement… je veux simplement dire que tant qu’on reste sur les dépôts OFFICIELS Debian on ne risque pas grand chose au niveau des virus/logiciels malveillants, par contre, si on s’amuse à piocher n’importe où, il faut pas se plaindre si on a des problèmes derrière…
C’est un peu la même avec windo*… à télécharger d’obscurs outils qui économisent trois cliques ou deux lignes de commandes qui ont été pondu par je ne sais qui et qui n’ont pas été “décortiqués” par d’autre développeurs, et ben on risque encore plus de se prendre des merdes…
[/quote]
Attention tout de même on n’est jamais à l’abri de problème de sécurité un jour sur les dépôts officiels, c’est arrivé il y a pas si longtemps que ça à un miroir SourceForge il me semble 
D’où mon “on ne risque pas grand chose”… 
Merci , je suis sous xfce …
Gnome c’est comme kde cela ressembe à windows ?
merci
[quote=“linuxxx”]Merci , je suis sous xfce …
Gnome c’est comme kde cela ressembe à windows ?
merci[/quote]
Si tu prend gnome 3 avec gnome-shell son interface (n’existe pas sous squeeze) l’expérience utilisateur est très différente de windows (je dirais qu’elle est entre l’interface desktop et l’interface tablette : pensé pour les PC portables) la caractéristique principale de gnome et gnome-shell est a mon sens d’aller toujours au plus simple et à l’essentiel.
bonsoir, je vais tester software-center
c’est comme sur ubuntu mais pour debian
gnome à l’aire pas mal , mais sur la wheeze sur mon netbook c’est un lourd.
Merci
[quote=“linuxxx”]bonsoir, je vais tester software-center
c’est comme sur ubuntu mais pour debian
gnome à l’aire pas mal , mais sur la wheeze sur mon netbook c’est un lourd.
Merci[/quote]
Tu fais comme tu veux mais soit plus explicite j’ai rien compris apparemment à ta demande.
Tu nous parle des logiciels non-debian et maintenant tu rebondi sur une bouse graphique et sur XFCE et Gnome3.
Tu peux essayer le bureau léger XFCE, ou le bureau ultra-léger LXDE, ou te contenter d’un gestionnaire de fenêtres comme Openbox ou autre. On peut en installer plusieurs et choisir dans les options de l’écran de connexion.
Bonjour,
Ma demande était si il était préférable de passez par synaptic et en mode console pour les logiciels et j’ai eu ma réponse , et j’ai essayer aussi software center pour trouver les logiciels sous debian.
Oups excuse j’ai passé à un autre thème lol par contre dans ma version de wheezy je n’ai pas le choix en connexion ,juste xfce(comme c’etait sur une cle/usb live xfce)
Je trouve xfce pour un netbook est pas mal…
Mais restons dans le sujet principale …
[quote=“Num’s”]Une chose me chiffonne, quid (pour vous) des dépôts exotiques? Vous savez, ces obscurs dépôts maintenus par on ne sait qui, et qui pour certains proposent des “paquets” ultra pratiques clic-clic… Ces dépôts n’étant pas “validés” par l’équipe Debian, c’est la porte ouverte à toutes les fenêtres…
Prenons un exemple: un membre très actif d’un forum “réputé” héberge un dépôt “at home”, il joui d’une très bonne réputation sur le forum et du coup par ricochet d’une bonne réputation “tout court”… Si cette personne est intègre, les paquets qu’il fournira via son dépôt seront sains, par contre, si un jour il nous pète un câble/devient corrompu/vicelard/que-sais-je, quid de l’intégrité des paquets qu’il héberge… (non non, ce n’est pas une attaque en règle contre fran.b, bien au contraire… )
[/quote]
D’où l’intérêt de signer le dépot et de ne pas être anonyme dans ce cas (chacun connaît mon nom, ma situation et peut me retrouver dans le cas d’une utilisation malicieuse). La signature valide le fichier Release qui contient les signatures des fichiers Packages, dans lesquels fichier tu as les paquets et leur md5sum.
Si tu as conservé le paquet et qu’un cheval de Troie y est par exemple. Le md5sum certifie que ce paquet est celui du fichier Packages que tu trouves dans /var/lib/apt. Le fichier Release du dépot (toujours dans le même répertoire) atteste que le fichier Packages est bien celui du dépot. Le fichier Release.gpg atteste que le possesseur de la clef (moi en l’occurrence, cela se vérifie sur les infos de la clef) a signé ce fichier Release et pas un autre, donc à cet instant précis, savait ce qu’il y avait dans le paquet. Pénalement cela doit suffire pour attester ma responsabilité. Dans le cas d’un paquet perso, je suis cuit et risque gros, dans le cas d’un paquet redistribué, il faut que je justifie que les sources utilisés étaient déjà «infectés» (ce qui n’est pas forcément simple). Signer son dépot n’est donc pas juste un détail, c’est assumer pénalement les paquets fournis. (Bien évidemment une signature anonyme pose un souci et il faut faire attention à ce que cette signature identifie bien la personne (dans mon cas un «hostmap -t $(host boisson.homeip.net | grep ddress | sed -e ‘s/^.dress. //’)» suffit à m’identifier avec certitude par exemple).
PS: L’idéal serait bien sûr que ma clef soit signée par exemple par l’éducation nationale. Je l’ai souvent suggéré mais pas de détails à ce jour. J’ai aussi pensé qu’il serait intéressant de développer un système de signature à partir des certificats fournis par les impôts (par exemple une clef gpg avec dans sa description le hash du certificat des impôts), ça permettrait à chaque contribuable d’avoir une clef attestée par les impôts (donc dans notre monde par «Dieu le père tout puissant maître de toutes choses»!) mais je ne connais pas assez bien le système des certificats pour le faire.
Merci pour les précisions fran.b…