Jordan Gloor/How-To GeekDas Arch Linux AUR-Repository enthält von der Community betriebene Software, die sicher verwendet werden kann, wenn Sie einige einfache Vorsichtsmaßnahmen treffen. Auch wenn Sie sich mit Shell-Scripting nicht auskennen, gibt es Indikatoren, anhand derer Sie beurteilen können, ob ein Paket sicher ist oder nicht.
Der AUR ist eines der Kronjuwelen von Arch Linux und stellt Tausende zusätzlicher Softwarepakete bereit. Aber ist die Verwendung dieses benutzergesteuerten Repositorys sicher oder sollten Sie es vermeiden?
Inhaltsverzeichnis
Was ist die AUR?
Die Gefahren bei der Verwendung der AUR
AUR-Sicherheit: Überprüfen Sie die Paketdetails und den Ruf
Überprüfen Sie den Inhalt von PKGBUILD und anderen Dateien
Sie können anderen AUR helfen Benutzer
Was ist die AUR?
Das AUR (Arch User Repository) ist ein von der Community betriebenes Software-Repository, das Arch Linux-Benutzern mehr als 85.000 Softwarepakete zur Verfügung stellt. Im Gegensatz zu anderen Arch-Repositorys wie den Core-, Extra- und Multilib-Repositorys hostet das AUR keine einbaufertigen Pakete. Tatsächlich hostet es überhaupt keine Binärdateien oder Softwarepakete.
Der AUR hostet Paket-Build-Dateien, sogenannte PKGBUILDs. Dabei handelt es sich um Shell-Skripte, die vom Arch-Makepkg-Tool ausgeführt werden. Wenn makepkg ausgeführt wird, sucht es nach einer Datei namens „PKGBUILD“. Wenn es eines findet, öffnet es es und folgt den darin enthaltenen Anweisungen, um ein Softwarepaketarchiv auf Ihrem Computer zu erstellen. Wenn Sie mit dem Kompilieren auf der Befehlszeile vertraut sind, arbeiten eine PKGBUILD-Datei und makepkg auf ähnliche Weise zusammen wie ein MAKEFILE und das Make-Dienstprogramm.
Die PKGBUILD-Anweisungen laden Quellcodedateien und andere Dateien herunter die zum Erstellen des Paketarchivs erforderlich sind. Das Pacman-Tool wird automatisch aufgerufen, um die Software aus dem Paketarchiv zu installieren.
Auf die Gefahr hin, Verwirrung zu stiften, liefern einige AUR-Pakete vorkompilierte Binärdateien. Diese Binärdateien werden jedoch nicht im AUR gehostet, sondern an anderer Stelle im Internet gespeichert. Der AUR-Eintrag für diese Pakete enthält nur eine PKGBUILD-Datei, die die vorkompilierte Binärdatei auf Ihren Computer herunterlädt.
VERWANDTEArch Linux vs. Ubuntu: Welches sollten Sie verwenden?
Mit der AUR kann jeder ein PKGBUILD für eine Software erstellen, die er anderen Arch-Benutzern zur Verfügung stellen möchte. Dies können Open- oder Closed-Source-Pakete oder sogar kommerzielle Software sein. AUR-Pakete, die genügend Benutzerstimmen erhalten, können in ein reguläres Arch-Repository namens Community-Repository hochgestuft werden.
Das Problem mit dem AUR wird deutlich, wenn man es auf das Wesentliche reduziert. Es handelt sich um eine Sammlung von Skripten von zufälligen Benutzern aus dem Internet. Und sie möchten, dass Sie sie auf Ihrem Computer ausführen.
Um die Risiken zu mindern, werden hochgeladene Skripte von qualifizierten, angesehenen Freiwilligen, sogenannten vertrauenswürdigen Benutzern, überprüft. Die vertrauenswürdigen Benutzer prüfen und testen die PKGBUILDS und entfernen alle gefährlichen Fehler oder böswilligen Absichten.
VERWANDTE: So aktualisieren Sie Arch Linux
Die Gefahren der Verwendung des AUR
Es kommt sehr selten vor, aber manchmal gehen Dinge durch das Netz, trotz der Sorgfalt der vertrauenswürdigen Benutzer. Im Jahr 2015 löschte ein Steam-Skript von Valve Software Ihr Home-Verzeichnis, wenn Sie das Steam-Verzeichnis zuvor an einen neuen Speicherort verschoben hatten.
Unheimlicher war der Vorfall im Jahr 2005, als ein verwaistes AUR-Paket verfügbar war von einem neuen Betreuer übernommen, der der PKGBUILD-Datei absichtlich schädlichen Code hinzugefügt hat. Diese Beispiele sind alt und ungewöhnlich, aber die gleichen Dinge könnten noch einmal passieren.
Wenn Sie über ausreichende Kenntnisse verfügen, können Sie den Inhalt der PKGBUILD-Datei natürlich auch selbst überprüfen. Diese Transparenz ist eine der Stärken des AUR, es sind jedoch ausreichende Skriptkenntnisse erforderlich, um davon zu profitieren. Und das betrifft nur die PKGBUILD-Datei selbst. Wenn es eine Menge Anwendungsquellcode einbezieht, sollte dies theoretisch auch überprüft werden.
Weitere Gefahren bei der Verwendung des AUR sind verteilungsbedingt. Nicht alle Arch-basierten Distributionen sind Arch-ähnlich genug, damit die AUR einwandfrei funktioniert. Die AUR geht davon aus, dass die Installation auf echtem Arch Linux erfolgt, und zwar auf einer vollständig gepatchten und aktualisierten Version. Manjaro beispielsweise unterstützt AUR nicht offiziell, obwohl es auf Arch basiert.
Aber was können Sie tun, um sicherzustellen, dass Ihre Distribution AUR unterstützt? ;Verwenden Sie es so sicher wie möglich, unabhängig davon, ob Sie Quellcode und Shell-Skripte verstehen oder nicht?
AUR-Sicherheit: Überprüfen Sie die Paketdetails und den Ruf
Auch ohne Codeüberprüfungen können Sie Schritte unternehmen, die Ihnen bei der Entscheidung helfen, ob Sie einem AUR-Paket vertrauen können.
Finden Sie Ihr Paket auf dem AUR
Da ist eine Seite in die AUR für jedes Paket. Die Webseite des Pakets beschreibt das Paket, welche Abhängigkeiten es hat, welche Pakete davon abhängen und andere nützliche Informationen. Beginnen Sie Ihre Untersuchung, indem Sie zum AUR gehen und nach Ihrem Paket suchen.
Welchen Ruf hat es?
Benutzer können für Pakete stimmen, außerdem wird für jedes Paket ein Beliebtheitswert vergeben. Je mehr Stimmen und je höher die Popularität, desto besser. Dies bedeutet, dass das Paket bekannt und weit verbreitet ist. Mit anderen Worten, es handelt sich um ein seriöses Paket.
Das Der Ruf des Pakets ist ein guter Hinweis auf seine Vertrauenswürdigkeit. Je mehr Leute es nutzen und dafür stimmen, desto wohler fühlen Sie sich bei der Nutzung.
Überprüfen Sie die Aktivitätstermine
Im Abschnitt „Paketdetails“ finden Sie Im Abschnitt werden die Stimmen, der Beliebtheitswert und zwei Daten angezeigt. Zum einen, als die Pakete zum ersten Mal in die AUR eingeführt wurden, und zum anderen, als das Paket zuletzt aktualisiert wurde.
Die “Letzte Aktualisierung” Das Datum verrät Ihnen, ob das Paket aktiv gepflegt wird. Pakete, die längere Zeit inaktiv waren, sollten mit Vorsicht behandelt werden.
Ist die Upstream-URL ein gültiger Standort?
Überprüfen Sie auch die “Upstream-URL” und stellen Sie sicher, dass es zu einer gültigen Webseite oder einem gültigen Code-Repository für das Paket oder Projekt gelangt. Wenn dies nicht der Fall ist, stimmt etwas nicht.
Lesen Sie die Benutzerkommentare
Am Fuß jeder AUR-Seite befinden sich Benutzerkommentare. Diese können sich über viele Seiten erstrecken. Sehen Sie, was andere Benutzer über das Paket sagen und welche Fragen sie stellen. Sehen Sie sich auch an, welche Lösungen für die aufgeworfenen Probleme angeboten werden. Gibt es aktuelle Kommentare? Verfügt dieses Paket noch über eine aktive Benutzerbasis?
Registrieren und teilnehmen
Wenn Sie sich bei der AUR registrieren und ein kostenloses Konto erstellen, können Sie Kommentare hinterlassen und Fragen stellen Fragen. Nutzen Sie auch andere Ressourcen wie Foren und Subreddits, um nach dem Paket zu fragen.
Auch wenn Sie Shell-Skripte nicht verstehen, können Sie dennoch ein paar Dinge überprüfen.
Überprüfen Sie den Inhalt von PKGBUILD und anderen Dateien
Eine übliche Möglichkeit, auf die AUR zuzugreifen, ist die Verwendung eines Befehlszeilen-„AUR-Helfers“ 8221; wie z. B. juhu, aber Sie können den AUR auch praktisch und manuell verwenden.
Gute AUR-Helfer bieten Ihnen die Möglichkeit, die PKGBUILD-Datei zu überprüfen und die Installation anzuhalten, wenn Sie nicht fortfahren möchten. Im manuellen Prozess suchen Sie im AUR nach dem Paket, laden die PKGBUILD-Datei herunter und überprüfen sie, bevor Sie sie verwenden. Wenn Sie nach der Überprüfung gerne fortfahren möchten, führen Sie makepkg manuell aus.
Es ist eine gute Idee, mindestens ein Paket manuell zu installieren, damit Sie die Mechanismen kennen was der AUR-Helfer im Hintergrund tut. Wir verwenden den Yay AUR-Helfer als Beispiel.
Das Paket wurde erstmals im Jahr 2016 eingereicht und zuletzt im Mai 2023 aktualisiert. Zum Zeitpunkt des Verfassens dieses Artikels handelt es sich um ein sehr aktuelles Update. Bemerkenswert ist auch, dass der ursprüngliche Einreicher, der aktuelle Betreuer und die letzte Person, die die Software verpackt, alle dieselbe Person sind. Diese Kontinuität ist ein gutes Zeichen.
Klicken Sie auf die Schaltfläche „Git Clone URL“. URL-Link im Abschnitt „Paketdetails“ Abschnitt, um ihn in die Zwischenablage zu kopieren.
Geben Sie in einem Terminalfenster „git clone“ und ein Leerzeichen ein und drücken Sie dann Umschalt+Strg+V, um die URL in die Befehlszeile einzufügen . Drücken Sie die Eingabetaste. um den Download zu starten.
git clone https://aur.archlinux.org/yay.git
Wenn der Download abgeschlossen ist, wechseln Sie in das neue “yay” Verzeichnis.
cd yay
Mal sehen, was Dateien, die wir haben.
ls
Es gibt eine einzige Datei, die PKGBUILD-Datei. Oft gibt es ein oder zwei zusätzliche Hilfsdateien. Schauen Sie sich auch diese an. Wir werden weniger verwenden, um unsere einzelne Datei zu lesen.
weniger PKGBUILD
Welche URLs verwendet die PKGBUILD-Datei?
< p>Eine wohlgeformte PKGBUILD-Datei, die den Konventionen folgt, erstellt Variablen, um die von ihr verwendeten URLs zu speichern. Dadurch erhalten wir oben in der Datei eine übersichtliche Liste der URLs, auf die PKGBUILD verweist. In diesem Fall gibt es nur einen.
Wir können sehen, dass es auf eine GitHub-Seite für das Yay-Projekt verweist.
Die GitHub-Seite gehört einem Benutzer mit demselben Namen wie der Betreuer, der auf der AUR-Seite für dieses Paket aufgeführt ist. Dies sind zwei gute Anzeichen dafür, dass es sich um ein sicheres Paket handelt.
Aber wir machen weiter und schauen etwas tiefer.
Suchen Sie nach Download-Befehlen
Verwenden Sie die Funktion „Weniger suchen“, um die Datei nach Verwendungsmöglichkeiten von „wget“ oder „curl“ zu durchsuchen. Beide Tools können zum Abrufen von Remote-Dateien verwendet werden. Ein gut benommenes PKGBUILD sollte solche Aktivitäten nicht benötigen.
Wenn Sie Vorkommnisse finden, behandeln Sie diese als Warnsignal und installieren Sie das Paket erst, wenn Sie sicher sind, dass es harmlos ist. Auf welche URL verweisen die Befehle wget oder curl? Sehen sie legitim aus und stehen im Zusammenhang mit dem Paket?
Wenn Sie von einer vertrauenswürdigen Quelle die Bestätigung erhalten können, dass PKGBUILD vertrauenswürdig ist, und es nur auf eine Weise geschrieben ist, die nicht nachvollziehbar ist Konventionen verwenden, können Sie es trotzdem installieren.
Suchen Sie nach rm, mv und anderen gefährlichen Befehlen
Ebenso ist es nicht erforderlich, dass eine PKGBUILD-Datei die rm- oder mv-Befehle enthält, und sie sollten auch nicht auf irgendetwas in der &# verweisen. 8220;/dev” Verzeichnis. Wenn PKGBUILD Pacman direkt aufruft oder systemctl, systemd oder eine andere wichtige Systemkomponente wie Grub erwähnt, behandeln Sie die PKGBUILD-Datei als gefährlich und führen Sie sie nicht aus.
Sie können die Schritte, die wir bisher verwendet haben, auch dann ausführen, wenn Sie keine Shell-Skripte lesen können. Wenn Sie sich mit Shell-Skripten auskennen, können Sie den tatsächlichen Code im PKGBUILD überprüfen.
Seien Sie vorsichtig bei verschleiertem Code
Leute, die bösartigen Code schreiben, versuchen oft, seine Absichten durch Verschleierung zu verbergen Es. Sie verwenden eine minimalistische, knappe und undurchdringliche Syntax, sodass es schwer zu entschlüsseln ist, was sie tun wollen. Wenn Sie Leitungen sehen, die eine Umleitung verwenden oder sed oder awk aufrufen, behandeln Sie diese als verdächtig.
Wenn Sie diese Zeilen kopieren und in einen Online-Parser wie EXPLAINShell.com einfügen, werden sie entpackt, sodass Sie sehen können, was sie tatsächlich tun. Wenn Sie mit einem dichten Durcheinander aus Klammern, Semikolons und kaufmännischen Und-Zeichen konfrontiert werden, lohnt es sich, einen Online-Parser zu verwenden, um noch einmal zu überprüfen, ob Sie richtig interpretiert haben, was die Zeile bewirken soll. Aber im Allgemeinen ist schwer lesbarer Code ein Warnzeichen.
Ihr /home sollte Ihr Schloss sein
PKGBUILD wird in einer Chroot-Umgebung kompiliert und erstellt.
< p>Hierbei handelt es sich um isolierte Mini-Dateisysteme, mit denen Entwickler Sandbox-Prozesse durchführen können, indem sie ihren Zugriff auf den Rest des Dateisystems Ihres Computers beschränken und ihren Zugriff auf andere Systembefehle reduzieren.
Wenn PKGBUILD direkt manipuliert Behandeln Sie dies als Warnhinweis in Ihrem Home-Verzeichnis. Stellen Sie sicher, dass Sie vollständig verstehen, was es tut, bevor Sie sich entscheiden, es auszuführen.
Sie können anderen AUR-Benutzern helfen
Bei äußerst beliebten Paketen sind Sie mit hoher Wahrscheinlichkeit auf der sicheren Seite. Aufgrund der hohen Benutzerzahl werden Probleme schneller erkannt und schneller gemeldet. Sie können Ihren Teil dazu beitragen, indem Sie alle Probleme melden, die Sie finden, und gute Pakete positiv bewerten, um ihren Ruf zu verbessern.
Wenn Sie feststellen, dass es ein Problem mit einem Paket gibt, das dazu führt, dass Sie es nicht installieren möchten, können Sie es finden Sie geraten in eine Zwickmühle, weil Sie dieses Paket brauchten. Eine Möglichkeit besteht darin, in Foren nach Vorschlägen für andere Pakete zu fragen, die diesen speziellen Bedarf erfüllen können.
Linux bietet normalerweise viele Möglichkeiten, eine bestimmte Katze zu häuten.
VERWANDT: So installieren Sie Arch Linux über eine GUI
WEITER LESEN
- › NZXT Relay-Lautsprecher und Subwoofer im Test: Ein einfaches Upgrade für Ihr Gaming-Audio
- › Die neuen Headset- und PC-Tischlautsprecher von NZXT sehen großartig aus
- › Ist Hola VPN in Chrome sicher?
- › Die Philips Hue App erhält neue Funktionen
- › Der Amazon Prime Day kommt diesen Juli zurück
- › Die neue Logitech MK370 ist eine Tastatur & Maus-Kombi für 40 $