staging.inyokaproject.org

Hallo,

noisefloor schrieb:

Hallo,

in der 1. Hinweisbox.

Gruß, noisefloor

Meinst Du damit etwa:

Hinweis:

Für die selbe Python-Version lassen sich standardmäßig Module nicht parallel lokal für einen Nutzer und systemweit installieren, es ist nur eine von beiden Installationen möglich.

Wer verschiedene Versionen des gleichen Moduls braucht muss dann auf ein "Virtual Environment" zurück greifen.

Dieser Hinweis ist allerdings nicht ganz korrekt: Liegt ein Modul in einer neueren Version als das bereits systemweit installierte vor, so kann man es dennoch zusätzlich lokal installieren, und es wird dann auch das lokal installierte verwendet.

Hallo,

nein, die 1. Hinweisbox.

Gruß, noisefloor

Hallo,

noisefloor schrieb:

Hallo,

nein, die 1. Hinweisbox.

Gruß, noisefloor

Also:

Hinweis:

~/.local/bin ist standardmäßig nicht im Suchpfad für ausführbare Programm enthalten, man muss das Verzeichnis den Umgebungsvariablen hinzufügen.

Und ich dachte, es wäre die die 1. Hinweisbox im Abschnitt "Wohin sollte man installieren?". Aber egal, jetzt frage ich mich nämlich erst recht, was dieser Hinweis mit der Konfliktfreiheit zwischen systemweit über pip installierten Modulen und den systemweit über die Paketverwaltung installierten Modulen zu tun haben könnte. Und vergleiche damit bitte auch den im darauffolgenden Abschnitt "Wohin sollte man installieren?" stehenden Satz: "Die lokale Installation bzw. ein lokales „Virtual Environment“ hat weiterhin den Vorteil, dass man keine Konflikte bzw. Probleme mit Modulen bekommt, die systemweit über die Paketverwaltung installiert wurden." Der Satz ist zwar sachlich insoweit richtig; der "springende Punkt" dabei aber ist, dass, falls man Module systemweit über pip installiert, es ebenfalls zu keinen Konflikten mit systemweit über die Paketverwaltung installierten Modulen kommt (wg. getrennten Verzeichnissen). Damit relativiert sich dann also der Vorteil von lokaler Installation bzw. einem lokalem „Virtual Environment“!

Hallo,

Damit relativiert sich dann also der Vorteil von lokaler Installation bzw. einem lokalem „Virtual Environment“!

Weil...? Bzw. aus welche guten Grund würdest du es bevorzugen, dass im Artikel steht, dass systemweit cool ist. Zumindest lese ich das zwischen den Zeilen deiner Posts?

Gruß, noisefloor

Hallo,

noisefloor schrieb:

Hallo,

Damit relativiert sich dann also der Vorteil von lokaler Installation bzw. einem lokalem „Virtual Environment“!

Weil...? Bzw. aus welche guten Grund würdest du es bevorzugen, dass im Artikel steht, dass systemweit cool ist. Zumindest lese ich das zwischen den Zeilen deiner Posts?

Gruß, noisefloor

Ich bin eigentlich eher "pro lokale Installation". Als einzig mögliches Argument dagegen könnte es die eventuell verminderte Sicherheit gegenüber der systemweiten Installation geben. Aber da habe ich noch nicht allzuviel recherchiert. Spontaner Gedanke: Systemweit kann nur mit Root-Rechten installiert werden, lokal dagegen auch mit normalen Nutzer-Rechten! Wenn ein Angreifer also unerlaubt auf unser jeweiliges System gelangt, dann kann er ohne Root-Rechte via pip Python-Schad-Programme installieren und die danach dann auch ausführen, allerdings gilt dies auch für jede beliebige Nicht-Python-Software, welche er lediglich aus einer beliebigen Internet-Quelle z.B. als Archiv herunterzuladen braucht, dieses lediglich entpacken muss und es dann ebenfalls mit normalen Nutzer-Rechten ausführen kann. Insofern stellt die Möglichkeit der lokalen Installation von Python-Software wohl kein generell größeres Sicherheits-Risiko dar als die systemweite, oder liege ich mit dieser Einschätzung unrichtig?

Hallo,

grundsätzlich gehen wir im Wiki ja davon aus, dass die Software "gut" ist und nichts desto trotz gibt es halt die obligatorische Fremdsoftware Warnung.

Ansonsten werden hypotetische Fälle nicht abdeckt. Zumal: wenn du ein "böses" Modul via pip install --user EVIL_MODULE installierst und darin enthaltene Software "nur" alles in deinem Homeverzeichnis löscht, dann ist den System zwar intakt, aber der persönliche Schaden kann groß sein.

Was anderes: lt. https://packaging.python.org/guides/installing-using-linux-tools/#debian-ubuntu funktioniert auch pip install irgendwas, weil Ubuntu / Debian ja dann scheinbar implizit --user setzt. Unter 18.04 funktioniert das AFAIR nicht, aber ich meine bei neueren *buntus schon. Kann das jemand mit 19.04 verifizieren?

Gruß, noisefloor

noisefloor schrieb:

Hallo,

(...)

Ansonsten werden hypotetische Fälle nicht abdeckt. Zumal: wenn du ein "böses" Modul via pip install --user EVIL_MODULE installierst und darin enthaltene Software "nur" alles in deinem Homeverzeichnis löscht, dann ist den System zwar intakt, aber der persönliche Schaden kann groß sein.

(...)

Also scheint benutzerspezifische Installation Deiner Meinung nach sicherer als die systemweite zu sein, denn wenn ich mir selber mit Root-Rechten ein Schad-Programm installiere (natürlich, ohne zu wissen, dass es sich um ein solches handelt), dann könnte dieses Programm bei dessen Ausführung nicht "nur" alles in meinem Homeverzeichnis löschen, sondern eben zusätzlich auch das System.

Mir persönlich ging es in meinem vorigen Post aber eher darum, dass Schad-Software von mir unbemerkt aus dem Internet weitere Software nachlädt, über das Internet andere Rechner anfällt etc.; also darum, dass mein PC zum Teil eines Botnetzes werden könnte. Macht es unter diesem Aspekt eigentlich einen Unterschied bzgl. lokaler oder systemweiter Installation? Denn es interessiert den von "meiner" Schad-Software angegriffenen Computer schließlich herzlich wenig, mit welchen Rechten sie auf meinem PC läuft.

Hallo,

wenn du eine Sicherheitsparanoia schiebst, dann installierst du am besten gar keine Software. Weder per pip noch per PPA noch per (NAME DES PAKETMANAGERS VON PROGRAMMIERSPRACHE $FOO) noch ...

Das hat rein gar nichts mit pip noch systemweiter vs. lokaler Installalation zu tun. Ein Bot kannst du auch bei Nutzerrechten werden. Oder wenn du dir im Browser eine Cryptominer fängst. Da nützt dir auch das Sandboxin moderner Browser nix.

Und jetzt bitte nur noch Fragen zum pip und dem Artikel und nicht irgendwelchen hypothetischen Sicherheitsproblemen. Bzw. wenn du das ausdiskutieren willst → starte einen Thread im passenden Supportforum. Danke.

Gruß, noiseflor

Hallo, die letzten Änderungen zur Erweiterung der PATH-Variable: Wollen wir die hier wirklich so lange haben oder genügt da nicht doch der Link?

Gruß BillMaier

Hallo,

das "eventuell" ist IMHO falsch. AFAIK muss man das auf jeden Fall unter Xenial und Bionic.

Gruß, noisefloor

Das war zwar nicht die Frage ... aber ...

Ihr* kümmert euch da drum, ja? 😀

Gruß BillMaier

*Schlangen-Menschen.

Hallo zusammen,

soeben wollte ich zu den "Links" auch noch die

• Installing Packages 🇬🇧 – offizielles Tutorial zur Installation von Python-Paketen
  dazupacken.

Wie markiert, ist in dem Tutorial allerdings von "Paketen" (statt "Modulen") die Rede.

Frage: Liegen wir hier im Wiki mit "Modulen" überhaupt richtig?
Bemerkung: Ist natürlich auch eine Abgrenzung zu den APT-"Paketen". Allerdings ist im besagten Tutorial in dessen Einleitung sinngemäß die Rede davon, dass:

• der Terminus "Paket" in diesem Kontext als ein Synonym für eine "Distribution" (z.B. ein zu installierendes Software-Bündel) benutzt würde,

  • aber nicht, um auf irgendeine Art von "Paket", welches man in seinen Python-Source-Code importiert (z.B. ein Container von Modulen) zu verweisen;

• es innerhalb der Python-Gemeinschaft üblich sei, auf eine "Distribution" zu verweisen, indem der Terminus "Paket" gebraucht würde,

  • hingegen der Terminus "Distribution" oft nicht bevorzugt würde, weil dieser leicht mit einer Linux-Distribution oder aber auch mit einer anderen größeren Software-Distribution wie Python selber verwechselt werden könnte.

Also alles klar soweit???

Hallo,

der Abschnitt Alle Python-Pakete mit pip auf einmal aktualisieren macht bei mir zwei Probleme:

1. Der grep-Befehl erzeugt eine Warnung

2. Das UPgrade erfasst nicht alle Pakete.

Details und bisherige Erkenntnisse sind hier ...