Jordan Gloor/How-To GeekIl repository AUR di Arch Linux contiene software guidato dalla comunità che è sicuro da usare se si prendono alcune semplici precauzioni. Anche se non capisci lo scripting della shell, ci sono degli indicatori che puoi usare per giudicare se un pacchetto è sicuro o meno.
AUR è uno dei gioielli nella corona di Arch Linux, fornendo migliaia di pacchetti software aggiuntivi. Ma questo repository gestito dall'utente è sicuro da usare o dovresti evitarlo?
Sommario
Che cos'è AUR?
I pericoli dell'utilizzo di AUR
Sicurezza di AUR: controlla i dettagli del pacchetto e la reputazione
Controlla il contenuto di PKGBUILD e altri file
Puoi aiutare altri AUR Utenti
Cos'è l'AUR?
AUR (Arch User Repository) è un repository di software guidato dalla comunità che fornisce oltre 85.000 pacchetti software agli utenti di Arch Linux. A differenza di altri repository Arch come i repository core, extra e multilib, AUR non ospita pacchetti pronti per l'installazione. In effetti, non ospita affatto file binari o software in pacchetti.
AUR ospita i file di build dei pacchetti, chiamati PKGBUILD. Questi sono script di shell che vengono eseguiti dallo strumento makepkg di Arch. Quando makepkg viene eseguito, cerca un file chiamato “PKGBUILD.” Se ne trova uno, lo apre e segue le istruzioni al suo interno per creare un archivio di pacchetti software sul tuo computer. Se hai familiarità con la compilazione sulla riga di comando, un file PKGBUILD e makepkg lavorano insieme in modo simile a MAKEFILE e all'utility make.
Le istruzioni PKGBUILD scaricano i file del codice sorgente e altri file necessari per creare l'archivio del pacchetto. Lo strumento pacman viene chiamato automaticamente per installare il software dall'archivio dei pacchetti.
A rischio di introdurre un po' di confusione, alcuni pacchetti AUR forniscono binari precompilati. Ma quei file binari non sono ospitati in AUR, sono archiviati altrove su Internet. La voce AUR per questi pacchetti contiene solo un file PKGBUILD che scarica il binario precompilato sul tuo computer.
RELATEDArch Linux contro Ubuntu: quale dovresti usare?
L'AUR consente a chiunque di creare un PKGBUILD per un pezzo di software che vorrebbe rendere disponibile per altri utenti Arch. Questi possono essere pacchetti open o closed source o anche software commerciale. I pacchetti AUR che ottengono voti sufficienti dagli utenti possono essere promossi a un normale repository di Arch chiamato repository della comunità.
Il problema con AUR diventa evidente quando lo riduci alle basi. È una raccolta di script di utenti casuali su Internet. E vorrebbero che tu li eseguissi sul tuo computer.
Per mitigare i rischi, gli script caricati vengono esaminati da volontari qualificati e rispettati, noti come utenti fidati. Gli utenti fidati ispezionano e testano i PKGBUILDS e rimuovono eventuali errori pericolosi o intenzioni malevole.
RELAZIONATO: Come aggiornare Arch Linux
I pericoli dell'uso di AUR
È un evento molto raro, ma a volte le cose sfuggono alla rete, nonostante la diligenza degli utenti fidati. Nel 2015, uno script di Steam di Valve Software cancellava la tua home directory se in precedenza avevi spostato la directory di Steam in una nuova posizione.
Ancora più sinistro è stato l'incidente del 2005, quando un pacchetto AUR rimasto orfano è stato rilevata da un nuovo manutentore che ha deliberatamente aggiunto codice dannoso al file PKGBUILD. Questi esempi sono vecchi e non comuni, ma le stesse cose potrebbero ripetersi.
Naturalmente, se sei sufficientemente esperto, puoi rivedere tu stesso il contenuto del file PKGBUILD. Questa trasparenza è uno dei punti di forza di AUR, ma richiede conoscenze di scripting sufficienti per trarne vantaggio. E questo copre solo il file PKGBUILD stesso. Se inserisce una massa di codice sorgente dell'applicazione, in teoria dovrebbe essere controllato anche questo.
Altri pericoli nell'uso di AUR sono basati sulla distribuzione. Non tutte le distribuzioni basate su Arch sono sufficientemente simili ad Arch perché AUR funzioni perfettamente. L'AUR presuppone che si stia installando su Arch Linux autentico e su una versione completamente aggiornata e aggiornata. Manjaro, ad esempio, non supporta ufficialmente AUR anche se è basato su Arch.
Ma, dato che la tua distribuzione supporta AUR, cosa puoi fare per assicurarti di… Lo stai usando nel modo più sicuro possibile, che tu comprenda o meno il codice sorgente e gli script della shell?
Sicurezza AUR: controlla i dettagli del pacchetto e la reputazione
Anche senza revisioni del codice, ci sono passaggi che puoi intraprendere per aiutarti a decidere se puoi fidarti di un pacchetto AUR.
Trova il tuo pacchetto su AUR
C'è una pagina in l'AUR per ogni pacchetto. La pagina web del pacchetto descrive il pacchetto, quali dipendenze ha, quali pacchetti dipendono da esso e altre informazioni utili. Inizia la tua indagine andando su AUR e cercando il tuo pacco.
Qual è la sua reputazione?
I pacchetti possono essere votati dagli utenti e c'è anche un punteggio di popolarità assegnato a ciascun pacchetto. Più voti e maggiore è la popolarità, meglio è. Significa che il pacchetto è ben noto e ampiamente utilizzato. In altre parole, è un pacchetto affidabile.
Il la reputazione del pacchetto è una buona indicazione della sua affidabilità. Più persone lo usano e lo votano, più ti senti a tuo agio nell'usarlo.
Controlla le date delle attività
Nella sezione “Dettagli pacchetto” sezione vedrai i suoi voti, il punteggio di popolarità e due date. Uno è quando i pacchetti sono stati introdotti per la prima volta in AUR e il secondo è quando il pacchetto è stato aggiornato l'ultima volta.
L'“Ultimo aggiornamento” date ti dirà se il pacchetto viene mantenuto attivamente. I pacchetti inattivi da molto tempo devono essere trattati con cautela.
L'URL a monte è una posizione valida?
Controlla anche l'“URL a monte” e verificare che vada a una pagina Web o a un repository di codice validi per il pacchetto o il progetto. In caso contrario, c'è qualcosa che non va.
Leggi i commenti degli utenti
Ci sono commenti degli utenti in fondo a ogni pagina AUR. Questi possono estendersi su molte pagine. Guarda cosa dicono gli altri utenti sul pacchetto e che tipo di domande fanno. Vedi anche quali soluzioni vengono offerte ai problemi che vengono sollevati. Ci sono commenti recenti? Questo pacchetto ha ancora una base utenti attiva?
Registrati e partecipa
Se ti registri su AUR e crei un account gratuito potrai lasciare commenti e chiedere domande. Inoltre, usa altre risorse come forum e subreddit per chiedere informazioni sul pacchetto.
Anche se non capisci gli script di shell, ci sono ancora un paio di cose che puoi controllare.
Controlla il contenuto di PKGBUILD e altri file
Un modo comune per accedere ad AUR è con una riga di comando “AUR helper&# 8221; come yay, ma puoi anche utilizzare AUR in modo pratico e manuale.
I buoni aiutanti AUR ti danno la possibilità di ispezionare il file PKGBUILD, interrompendo l'installazione se non vuoi procedere. Nel processo manuale, cerchi il pacchetto su AUR e scarichi il file PKGBUILD e lo ispezioni prima di usarlo. Se sei felice di procedere dopo averlo esaminato, esegui makepkg manualmente.
È una buona idea installare almeno un pacchetto manualmente, in modo da conoscere i meccanismi di ciò che l'helper AUR sta facendo in background. Useremo l'aiuto di yay AUR come esempio.
Il pacchetto è stato inviato per la prima volta nel 2016 ed è stato aggiornato l'ultima volta a maggio 2023. Al momento in cui scriviamo, si tratta di un aggiornamento molto recente. Notevole è anche il mittente originale, l'attuale manutentore e l'ultima persona che ha impacchettato il software, sono tutti la stessa persona. Questa continuità è un buon segno.
Fai clic sul pulsante “Git Clone URL” Collegamento URL nella sezione “Dettagli pacchetto” sezione per copiarlo negli appunti.
In una finestra di terminale, digita “git clone”, uno spazio, quindi premi Maiusc+Ctrl+V per incollare l'URL nella riga di comando . Premi “Invio” per avviare il download.
git clone https://aur.archlinux.org/yay.git
Al termine del download, passare al nuovo “yay” directory.
cd yay
Vediamo cosa file che abbiamo.
ls
C'è un singolo file, il file PKGBUILD. Spesso ci sono uno o due file helper aggiuntivi. Guarda anche quelli. Useremo meno per leggere il nostro singolo file.
less PKGBUILD
Quali URL utilizza il file PKGBUILD?
< p>Un file PKGBUILD ben formato che segue le convenzioni creerà variabili per contenere gli URL che utilizza. Questo ci fornisce un elenco ordinato nella parte superiore del file degli URL a cui PKGBUILD farà riferimento. In questo caso, ce n'è solo uno.
Possiamo vedere che punta a una pagina GitHub per il progetto yay.
La pagina GitHub è di proprietà di un utente con lo stesso nome del manutentore elencato nella pagina AUR per questo pacchetto. Queste sono due buone indicazioni che si tratta di un pacchetto sicuro.
Ma andremo avanti e guarderemo un po' più a fondo.
Cerca i comandi di download
Usa la funzione less search per cercare nel file gli usi di wget o curl. Entrambi questi strumenti possono essere utilizzati per recuperare file remoti. Un PKGBUILD ben educato non dovrebbe avere bisogno di tale attività.
Se trovi delle occorrenze, trattale come una bandiera rossa e non installare il pacchetto finché non sei certo che sia benigno. Qual è l'URL a cui fanno riferimento i comandi wget o curl? Sembrano legittimi e correlati al pacchetto?
Se puoi ottenere la conferma da una fonte attendibile che il PKGBUILD è affidabile, ed è solo scritto in un modo che non segue convenzioni, puoi comunque scegliere di installarlo.
Look For rm, mv, and Other Dangerous Commands
Allo stesso modo, non è necessario che un file PKGBUILD contenga i comandi rm o mv, né dovrebbero avere bisogno di fare riferimento a qualcosa nel &# 8220;/dev” directory. Se PKGBUILD chiama direttamente pacman o menziona systemctl, systemd o qualsiasi altro componente di sistema vitale come grub, tratta il file PKGBUILD come pericoloso e non eseguirlo.
Puoi eseguire i passaggi che abbiamo usato finora anche se non puoi leggere gli script della shell. Se conosci alcuni script di shell, puoi rivedere il codice effettivo nel PKGBUILD.
Fai attenzione al codice offuscato
Le persone che scrivono codice dannoso spesso cercano di nascondere le sue intenzioni offuscando Esso. Usano una sintassi minimalista, concisa e impenetrabile, quindi è difficile decifrare ciò che stanno cercando di fare. Se vedi linee che utilizzano il reindirizzamento o chiamano sed o awk , trattale come sospette.
Copiare quelle righe e rilasciarle in un parser online come describeshell.com le decomprimerà in modo da poter vedere cosa fanno effettivamente. Se ti trovi di fronte a un pasticcio fitto di parentesi, punti e virgola e commerciali, vale la pena utilizzare un parser online per ricontrollare di aver interpretato correttamente ciò che la linea sta cercando di fare. Ma in generale, il codice difficile da leggere è un segnale di avvertimento.
La tua /home dovrebbe essere il tuo castello
PKGBUILD compila e costruisce in un ambiente chroot.
< p>Si tratta di mini file system isolati che consentono agli sviluppatori di elaborare in sandbox limitando il loro accesso al resto del file system del tuo computer e riducendo il loro accesso ad altri comandi di sistema.
Se PKGBUILD sta manipolando direttamente la tua home directory, trattala come un flag di avviso. Assicurati di comprendere appieno cosa sta facendo prima di decidere di eseguirlo.
Puoi aiutare altri utenti AUR
Con pacchetti estremamente popolari, è molto probabile che tu sia al sicuro. A causa dell'elevato numero di utenti, i problemi vengono individuati più rapidamente e segnalati più rapidamente. Puoi fare la tua parte segnalando eventuali problemi riscontrati e votando i buoni pacchetti per migliorare la loro reputazione.
Se trovi che c'è un problema con un pacchetto che non ti fa desiderare di installarlo, puoi trovare te stesso in difficoltà perché avevi bisogno di quel pacchetto. Un modo per andare avanti è chiedere sui forum suggerimenti su altri pacchetti in grado di soddisfare quella particolare esigenza.
Linux di solito ha molti modi per scuoiare un dato gatto.
RELAZIONATO: Come installare Arch Linux da una GUI
LEGGI SUCCESSIVO
- › Recensione degli altoparlanti e del subwoofer NZXT Relay: un facile aggiornamento per il tuo audio di gioco
- › Le nuove cuffie e gli altoparlanti da scrivania per PC di NZXT hanno un aspetto fantastico
- › Hola VPN è sicuro su Chrome?
- › L'app Philips Hue sta ottenendo nuove funzionalità
- › L'Amazon Prime Day torna a luglio
- › Il nuovo Logitech MK370 è una tastiera & Combinazione di mouse per $ 40