我对Ubuntu还不熟悉,请多包涵。我使用以下命令安装了pip:sudo apt-get -y install python-pip。然后我使用其网站上的命令安装了NLTK,命令是:sudo pip install -U nltk。但是后来我看到了这个问题,它说我所做的一切都是“错误的做法”。其中给我留下深刻印象的是使用sudo pip是本质上错误的,而且给pip过多的权限可能会损坏操作系统文件。有人能验证这个说法吗?
注意-我只使用sudo是因为当我尝试运行命令apt-get -y install python-pip时遇到了2个错误:
E: Could not open lock file /var/lib/dpkg/lock - open (13: Permission denied)
E: Unable to lock the administration directory (/var/lib/dpkg/), are you root?
不应鼓励使用sudo pip install及其其他常见变体sudo -H pip install,因为使用root权限来使用pip从PyPI(Python Package Index)安装Python包存在安全风险。
根据https://stackoverflow.com/a/21056000/486919(重点是我的):
根据https://security.stackexchange.com/a/79327/8761所提到的,需要注意任何人都可以向PyPI上传Python包,包括恶意软件。当您使用
sudo运行pip时,您以root身份运行setup.py。换句话说,您以root身份运行来自互联网的任意Python代码。如果有人在PyPI上发布了恶意项目并且您安装了它,攻击者将获得对您机器的root访问权限。在最近修复pip和PyPI之前,攻击者还可以在您下载可信任项目时进行中间人攻击,注入他们的代码。
sudo pip安装来自PyPI的Python包。相反,考虑使用pip install --user(请注意,在当前Ubuntu上,pip install默认为pip install --user)或虚拟环境(如virtualenv)。如果你看到有人推荐使用sudo pip或sudo -H pip,请告诉他们不要这样做。sudo pip install可以卸载"旧的"系统安装的Python包,这可能会导致升级或卸载那些操作系统包变得困难。在这里,sudo pip uninstall无法帮助,因为它只会删除新的包,而不会恢复旧包的文件。(我的同事R. Zagar在另一个答案中详细说明了这一点。) - Mike DeSimonesudo apt-get install ...,这只是工具设计的方式。pip install时,使用sudo [-H]是可能和可选的,具体取决于你想要做什么(因此,“有争议”)。一个Python的座右铭是:“应该有一种--而最好只有一种--明显的方法来做到这一点。”就像大多数座右铭一样,它在每一个可能的机会都被戏谑地打破了。(我想这就是座右铭存在的原因。)不幸的是,在我非常谦虚的意见中,Python生态系统由许多相互冲突的“硬性规则”组成,永远不可违背...除非是“呀哒呀哒”(恶魔、细节等)。在几乎所有情况下,这是由于语言和工具的历史演变所致(而当人们只想继续工作时,谁想要/需要历史课呢?)--但也可能是由于Mac/Win/*Nix平台之间的差异(例如,Unix/Linux有类似的心态,但具有数十年的成熟经验优势)。因此,请对所有这些“错误的做法”和“本质上错误的”盲从者抱着巨大的怀疑态度。有些人确实好心。(其他人只是,嗯,刻薄。)
首先,与其使用基本的“每个用户安装”,你几乎总是更喜欢使用virtualenv,因为实际上,这可能是你最终需要的。所以你最好现在就开始使用它。如何做到这一点,确切地说,“取决于”(参见Python格言,上文)。如果你正在使用Conda(主要用于Mac和Windows),它将会设置使用Conda。如果使用“纯”Python [sic],那么它取决于你使用的版本和哪些Python工具,但virtualenvwrapper非常方便。sudo -H pip install -U numpy,这是完全可以接受的,甚至有优势,因为它可以避免在每个虚拟环境中单独下载/安装/维护大型库,而您只需要/需要一个版本。像scikit-learn、NumPy、matplotlib、SciPy、pandas等这样的大型流行框架可以安装一次并完成,并且可以在各种环境中重复使用。此外,您友好的本地系统管理员可能能够为系统上的每个用户安装这些库 - 很明显,他们也会通过sudo来执行此操作,例如对于TensorFlow等更复杂的安装。
最后,如果您正在安装某个随机的第三方库来执行这样那样的操作(如Twitter API、文本转换、代码格式化等),那么我完全同意 - 不要使用sudo以root身份安装。当然,请以当前用户的身份进行安装。但是请记住,您的用户帐户包含了所有真正重要的内容。
malloc的地方不要使用它。--user标志可以完成OP所要求的工作,而且不需要特殊权限。在此过程中,您正在削弱有关_virtualenv_的好处...这些都不是“模仿派”的东西。 - Benjamin Rpip install都是以root身份执行的(没有sudo,谢谢),还有一些以用户或root身份执行的pip3 install...真是一团糟。 - Pierresudo dnf install python3-numpy格式来安装对我很有用的许多软件包。这样做既不会存在不安全的缺点(发行版储存库维护者已验证软件包),还可以进行系统级的安装。唯一的缺点是发行版储存库中的软件包版本可能稍微滞后于PyPI上的软件包。sudo -H和pip。pip只能像apt一样损坏操作系统文件。只有当您想要仅为该用户安装时,才不要使用sudo与pip。pip?
如果您是系统管理员,也许情况就不同了。 - Benjamin R
sudo pip install的指令是错误的。 - Piotr Dobrogostsudo pip install和curl "some-url" | sudo bash安装方式一样糟糕。同样地,我们曾经遇到过几次,一些开发人员在他们的工作站上使用sudo pip install安装某些依赖项,然后因为缺少requirements.txt或setup.py文件中所安装的内容,将有问题的代码提交到代码库中,而其他人则需要弄清楚需要哪些依赖项,而这个人正在度假。 - Mike DeSimone