Hallo,
über AUR wurde viel geschrieben - die einen sind begeistert wegen der Vielfalt, die anderen warnen vor möglicherweise unsicherer Software.
Woran kann ich erkennen, ob eine Software aus AUR sicher ist, woran, dass sie eher zu meiden ist.
Natürlich würde ich am liebsten auf alle AUR-Pakete verzichten, aber das fällt mir sehr schwer:
Vor allem der
Adobe dngconverter,
freefilesync-bin,
noto-fonts-lite,
XnViewMP
und Treiber für meinen Canon Drucker habe ich aus AUR.
Frage: Ist es generell schlecht, wenn AUR aktiviert ist, oder hängt das ganz von der Software ab?
freefilesync gibt es auch als Flatpak - ist das sicherer als die installierte AUR-Version?
Ich denke das ist ein gute Zusammenfassung, obwohl in Englisch:
Aber im Grunde ist es so:
AUR ist von Arch Benutzer für Arch Benutzern. Weder das Team von Manjaro, noch das von Arch Linux kontrollieren da irgendetwas. Es ist wie die PPA bei Ubuntu nur mit dem Unterschied, dass kein Binär-Dateien ausgeliefert werden, sondern nur das Rezept, dass du dann selbst kochst (oder in den Schnellkochtopf tust).
Nein, es ist generell nicht schlecht. Allerdings bist du da komplett auf die Community angewiesen oder eben auf dich selbst. Kannst es dir so vorstellen, wie eine Tauschbörse, wo Leute ihre Lieblings-Rezepte austauschen. Ob ein gekochtes Rezept mundet, entscheidet dann jeder selbst. Falls es schmeckt, stimmt man für das Gericht und wenn es nicht schmeckt kann man ein Kommentar hinterlassen mit Verbesserungsvorschlägen oder einer Kritik.
Dementsprechend wird es nicht von Profi-Köchen vom Team ArchLinux oder Manjaro zubereitet und verschickt, sondern du darfst selbst kochen.
Flatpak ist bereits gekocht und fertig garniert, meist direkt vom Erfinder (Entwickler) des Rezepts (Source Code), allerdings nicht immer. Das muss man auf der Website dann überprüfen.
Danke Dir für die schnelle Antwort.
Den ersten Artikel: Use AUR habe ich schon überflogen und der Inhalt macht AUR nicht vertrauenswürdiger. Der zweite Read a PKGBUILD - da verstehe ich noch weniger, weiß nicht einmal was ein PKGBUILD ist. Es erscheint mir, als sollte ich einen Text in einer mir unbekannten Sprache redigieren.
Kann ein Anfänger überhaupt überprüfen, ob ein AUR Paket sicher ist?
Oder ist meine Vorsicht, bei den oben genannten Paketen übertrieben? Bisher habe ich ja keinerlei Nachteile entdeckt.
Gegenfrage: Kann ein Mensch, der nicht weiß, was für Zutaten in ein Rezept kommen und nicht versteht, wie Zutaten miteinander in Wechselwirkung stehen, sicher sein, dass er davon kein Durchfall bekommt?
Man muss schon ein Rezept lesen und verstehen können, damit man sicher sein kann.
Wenn alles gut gegangen ist, dann ist auch zu 98% nichts zu befürchten. Keine Viren, Trojaner, Würmer oder andere schlechte Ware. Wenn sowas entdeckt werden würde, wäre es sowieso schon längst nicht mehr da.
Ich habe mir die frage auch öfters gestellt aber da die überprüfung selbst für mich als IT Nerd der uhrsprünglich von Windows kommt aber mich trotzdem hoffnungslos überfordert weil meine Linux Kenntnisse einfach nicht ausreichen.
Daher versuche ich mich auf die Upvotes des jeweiligen AUR erstellers zu konzentrieren und das der entwickler selber das Paket wenn möglich selbst anbietet.
Als erstes würde ich schauen von wo es den Quellcode lädt (source=...).
Vertraue ich der Quelle oder nicht? Steht da was von https://malwareshop.xyz/latestVirus.tar.gz oder wird die offizielle website / git repo der Entwickler referenziert.
Das ist schon mal die halbe Miete.
Andere Kriterien wären, wie du schon sagst: Votes / Popularity.
Aber auch z.b.
Erstellungsdatum: Ist das Ding ganz neu oder gibt es das Paket schon länger.
Maintainer: Frisch registrierter account mit nur einem Paket oder gibt es den schon länger und hat er/sie noch andere Pakete.
Das sind Sachen die jedermann überprüfen kann, auch ohne PKGBUILD/shellscript zu verstehen.
Um wirklich sicher zu sein gilt aber letzendlich:
Wenn ich eine malware einschleuse wollte, würde ich das wahrscheinlich versuchen irgendwo in build Prozess zu verschleiern oder sogar den Quellcode patchen und Schadcode mit einbauen ohne das die eigentliche software merkbare Veränderungen hat.
Dann geht es schon so weit dass man nebst shellscript den Quellcode der software verstehen muss.
Ich glaube aber die Wahrscheinlichkeit ist ziemlich gering im AUR ein “faules Ei” zu erwischen, eben weil PKGBUILD halt völlig transparent ist.
Auch würde das sehr zeitnah gelöscht werden.
Am Ende des Tages wirst du dem Ersteller des Pakets und der Software vertrauen müssen. Selbst wenn du alle Bestandteile aus dem AUR das du bauen willst von Hand sichtest und alle Quellen die irgendwo heruntergeladen werden verifizierst und das Paket wirklich sauber ist, dann ist noch immer nicht ausgeschlossen dass der Entwickler einer Software Schadcode verteilt. In letzter Konsequenz müsstest du ein Auditing jeder Codezeile durchführen und selbst dann wäre es durchaus möglich gewollte oder ungewollte schädliche Dinge zu übersehen.
Bei einem beliebten Paket wie z.B Google Chrome kannst du recht sicher sein das viele ein Auge darauf haben und es schnell auffallen würde wenn da etwas faul wäre, gleichzeitig wäre für einen Bösen der Zugang zu dem Paket hat das ganze sehr lukrativ einfach die Bestandteile von einem anderen Server zu laden die Schadcode enthalten.
Flatpak hat dort den Vorteil das es zumindest etwas abgeschottet ist vom System, was natürlich keine Garantie für etwas ist. Ich persönlich bevorzuge aber in der Tat Flatpaks von Programmen wie z.B den oben genannten Browser. Nicht wegen der Sicherheit, sondern weil es komfortabler ist. Gut bei dem Beispiel ist es wohl kaum ein Unterschied, aber Pakete aus dem AUR die lange gebaut werden müssen und wo potentiell offen ist ob dabei was brauchbares rauskommt sind mir in vielen Fällen zu anstrengend.
Hallo und ein Dank an alle, die geantwortet haben.
Wenn mit meinen geringen Kenntnissen Eure Antworten betrachte, kommt für mich dabei heraus: Oh, AUR, Vorsicht, aber genau genommen passieren meistens nichts, es sei denn, … deshalb besser genau hinschauen. Aber ich kann da so lange hinschauen, wie ich will, erkennen tue ich da sowieso nichts, weil ich viel zu wenig verstehe.
Gerne möchte ich noch einen Versuch starten.
Was ich brauche, ist: canon-pixma-ip7200-printer ink xnviewmp.
Wie sicher sind die drei? Und, wenn sie jetzt sicher sind, kann ich davon ausgehen, dass sie auch sicher bleibenß?
Die Flatpak-Alternative habe ich bei freefilesync-bin - wäre das sicherer?
Oder mal ganz groß gefragt:
Wie schwer ist es, die gewünschte Software selbst zu kompilieren?
Hallo Michi,
ich habe den Eindruck, dass die bisherige Diskussion zu sehr in Richtung “Sicherheit” - sprich Gefahr von Viren, Trojanern, Rootkits usw. gegangen ist. Nichts davon ist falsch, besonders beim Rezeptvergleich von megavolt fand ich die Problematik sehr gut auf den Punkt gebracht. Aber, ist dann im Laufe der Diskussion der Schwerpunkt nicht zu sehr in diese Richtung verschoben wurden und das eigentlich Problem, wegen dem vor der Benutzung von AUR “gewarnt” wird, etwas aus dem Blickpunkt geraten? So zumindest mein persönlicher Eindruck.
Sehr zu Recht steht ja in der Warnung zu AUR nicht etwa “Achtung, könnte virenverseucht sein”, sondern “Achtung, das sind keine offiziellen Quellen, also erwarte keine offizielle Hilfe, wenn etwas nicht funktioniert und wenn es jetzt funktioniert, kann es sein, dass es beim nächsten Update von Manjaro nicht mehr funktioniert”. Der Schwerpunkt liegt also eher auf der nicht garantierten Funktionsfähigkeit, wie ebenfalls von megavolt in #2 gesagt wurde.
Deshalb meine persönliche Regel zum AUR, die ich natürlich auch nicht zum obersten Problemlöser erklären will:
“Benutze das AUR nur, wenn es für die gewünschte Aufgabe in den offiziellen Repos kein entsprechendes Paket gibt”
zur eigentlichen Frage:
canon-pixma-ip7200-printer, stammt wohl letztendlich von Canon selbst, also warum nicht, zumal Du wohl nicht der erste und einzige Besitzer von diesem Drucker bist
xnviewmp, hier könnte man fragen, ob es nicht in den offiziellen Repos ähnliche Grafikprogramme gibt, aber das Voting von 287 spricht doch eher für das Programm
ink, da halte ich mich raus. Kann meinen Tintenstand direkt am Drucker nachsehen, aber warum nicht. Wenn es funktioniert sehe ich kein Problem, aus dem gleichen Grund wie bei canon-pixma-ip7200-printer (Anzahl User)
wie gesagt, meine Meinung, ohne dass ich mich ganz tief in die Eingeweide der Sourcen vergraben habe.
Was die Zukunft betrifft, da kann ich nur optimistisch sein. Wie heisst es doch so schön: “Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen”
selbst kompilieren ist nicht schwer, aber warum solltest Du das tun, wenn etwas in den Repos existiert und das “Bauen aus dem AUR” ist letztendlich wie “selbst kompilieren”.
Käme also nur etwas in Frage, was weder in den Repos noch im AUR existiert. Wenn Du das selbst kompilierst machst Du das letztendlich am Paketmanager vorbei, musst also selbst für eventuelle Abhängigkeiten, Updates u.ä. sorgen.
Hallo @gosia,
in kleinen Schritten komme ich voran. Ich hoffe sehr, dass ich nicht zu viel frage.
Ein paar AUR-Pakete habe ich vor, zu ersetzen. Meinst Du es ist sinnvoll folgendes zu machen:
dngconverter → werde das mit Wine installieren,
freefilesync-bin → Flatpak
noto-fonts-lite → Noto-fonts so riesig viele
XnViewMP: Kennst Du eine echte Alternative, die vor allem zum Verwalten von eigenen Videos gut geeignet ist?
Und mit dem Rest werde ich hoffentlich keine Schwierigkeiten haben, habe ja auch jetzt keine bemerkt.
oha, ich befürchte, da müssen die Spezialisten ran, weil ich das meiste aufgezählte nicht benutze. Trotzdem meinen, sehr unmassgeblichen Senf dazu, nur als Ansatz, der auch dazu dienen soll, ergänzt zu werden:
freefilesync-bin: Hm, immer wenn ich was von sync lese, fällt mir rsync und alle Ableger davon ein, mit oder ohne graphische Oberfläche rsync - ArchWiki
und Flatpak → Geschmacksfrage, die einen lieben es, die anderen mögen es nicht. Ich gehöre zur zweiten Gruppe
noto-fonts-lite: Fonts, ein Riesenthema u. sehr subjektiv, auch wenn mir Typographen widersprechen werden. Ich gehe da meist pragmatisch vor: “fehlt mir was, wenn ich den Font XYZ nicht installiert habe?” → wenn ja, nachinstallieren geht immer.
äh, nein. Ich wusste noch nicht mal, dass man mit XnViewMP Videos verwalten kann. Habe es für ein Grafikprogramm gehalten. Gibt es bestimmt was, aber mindestens für die Frage würde ich einen neuen Thread aufmachen, wo Du etwas genauer deine Ansprüche schliderst. “videos verwalten” klingt für mich nach “in welchen Videos sieht man Tante Gerda in ihrem Kleingarten?”, möglichst noch nach Jahr geordnet. So in etwa, oder ganz was anderes?
Hallo @gosia,
alles ganz einfach:
dngconverter ist von Adobe und der Goldstandard für das Konvertieren von Raw-Fotos aller Hersteller. In diese DNG-Datein kann man Stichworte hineinschreiben, ohne dass die Gefahr besteht, dass sie kaputt gehen, was sonst sehr gut möglich ist. Und, wenn ein Hersteller eine neue Kamera herausbringt, dann ist deren Raw-Foto oft nicht unterstützt von den Rawtherapee oder darktable. Und die Qualität der DNG vom dngvonverter ist wesentlich besser, als wenn ich die Konvertierung von digiKam machen lasse. Vermutlich auch besser als mit raw2dng, der ja auch von AUR ist.
freefilesync = mein absoluter Favorit! Ich versuche es mal mit Grsync, unison oder borg - mit all denen komme ich nicht gut zurecht.
Das mit den Fonts habe ich schon hinbekommen. Jetzt habe ich ein AUR weniger und trotzdem nicht die albernen 150 Schriften von Noto, sondern nur die ausgewählten.
XnViewMP: Meine Haupttätigkeit ist, Videos zu machen. Und für jedes Video, das ich mache, nehme ich 20 bis 400 Clips auf (je nur 1 min.). Diese zu sichten, auszuwählen, umbenennen, dazu ist XnViewMP das Beste. gThumb ist ok, aber lange nicht so flexibel und brauchbar. digiKam zu aufwendig.
Na, so hat jeder sein eigenen Repertoire an Anwendungen, von denen er meint, dass er sie braucht.
Jedenfalls gelingt es mir Stück für Stück, AUR zu reduzieren. Das ist schon mal gut.
Wenn man dngconverter aus dem AUR installiert, wird ein eigenes Wine installiert - das ist also ziemlich viel, was da installiert wird. So denke ich, trotz Deines Zweifels, ob es nicht besser wäre, das alles selbst zu tun: Die Datei herunterladen: AdobeDNGConverter_x64_14_4.exe
und dann mit Wine installieren.
Ist das denn nicht die viel sauberere Methode? Bequemer ist es natürlich das Ding aus AUR von dem “Unknown Packager” zu verwenden.
Hallo michi,
interessanter Blick über den Tellerrand, danke. Bedeutet aber auch, dass ich nicht mehr richtig mitreden kann, fehlt mir einfach das Hintergrundwissen. Nur eins kann ich noch korrigieren.
Ich meinte nicht die Installation von dngconverter, sondern von raw2dng-git aus dem AUR. Dies ist wohl eine Adaption von dngconverter für Linux. Und da wird kein wine installiert. Habe mich selbst davon überzeugt. Zum Funktionsumfang von raw2dng-git im Vergleich zu dngconverter kann ich aber nichts sagen, s.o.
Und letztendlich ist die Entscheidung für oder gegen wine subjektiv. Ich habe wine vor langer Zeit einmal benutzt, aber inzwischen komme ich sehr gut ohne aus. Und wenn Du es tatsächlich brauchst, dann ist es eben so. Da wird wohl niemand einen Bannfluch schleuden
Hallo @gosia,
bin wieder ein AUR los geworden: dngconverter. Ich habe diesen mit Wine installiert, das hat mir @megavolt mal beigebracht, (für meinen noch unverzichtbaren MyPhoneExplorer). Hat auch hier prima geklappt, nun muss ich selbst auf updates achten, wenn mal eine aktuelle Kamera nicht unterstützt werden sollte - Adobe ist da recht rege.
Ich danke Dir sehr, wie auch allen die Linux machen und denen, uns, die lernen wollen, helfen. Das geht bei mir aber nicht so schnell, wie bei Euch jungen Leuten.
Und, es hat direkt Spaß gemacht.
Bei XnViewMP hole ich mir seit Jahren immer nur die tgz-Datei vom Entwickler. Die binde ich im Startmenü ein und fertig. Beim Update muß man den alten Ordner nur löschen und die neue Datei entpacken, weiter nix, denn der Ordnername (XnView) ändert sich nicht.
