Jordan Gloor/How-To GeekArch Linux AUR-förrådet innehåller community-driven programvara som är säker att använda om du vidtar några enkla försiktighetsåtgärder. Även om du inte förstår skalskript, finns det indikatorer som du kan använda för att bedöma om ett paket är säkert eller inte.
AUR är en av juvelerna i Arch Linux, och tillhandahåller tusentals ytterligare programvarupaket. Men är det här användardrivna arkivet säkert att använda, eller bör du undvika det?
Innehållsförteckning
Vad är AUR?
Farorna med att använda AUR
AUR Säkerhet: Kontrollera paketdetaljerna och rykte
Kontrollera innehållet i PKGBUILD och andra filer
Du kan hjälpa andra AUR Användare
Vad är AUR?
AUR (Arch User Repository) är ett gemenskapsdrivet programvarulager som tillhandahåller uppemot 85 000 mjukvarupaket till Arch Linux-användare. Till skillnad från andra Arch-förråd, såsom kärn-, extra- och multilib-förråd, är AUR inte värd för färdiga att installera paket. Faktum är att den inte är värd för binära filer eller paketerad programvara alls.
AUR är värd för paketbyggda filer, kallade PKGBUILDs. Dessa är skalskript som körs av Arch makepkg-verktyget. När makepkg körs letar den efter en fil som heter “PKGBUILD.” Om den hittar en, öppnar den den och följer instruktionerna i den för att skapa ett programvarupaketarkiv på din dator. Om du är bekant med att kompilera på kommandoraden, fungerar en PKGBUILD-fil och makepkg tillsammans på ett liknande sätt som en MAKEFILE och make-verktyget.
PKGBUILD-instruktionerna laddar ner källkodsfiler och andra filer. som krävs för att skapa paketarkivet. Pacman-verktyget anropas automatiskt för att installera programvaran från paketarkivet.
Med risk för att skapa viss förvirring, levererar vissa AUR-paket förkompilerade binärer. Men dessa binärfiler finns inte i AUR, de lagras någon annanstans på internet. AUR-posten för dessa paket innehåller endast en PKGBUILD-fil som laddar ner den förkompilerade binära filen till din dator.
RELATERATArch Linux vs. Ubuntu: Vilket ska du använda?
AUR tillåter vem som helst att skapa en PKGBUILD för en mjukvara som de vill göra tillgänglig för andra Arch-användare. Dessa kan vara öppna eller slutna källkodspaket, eller till och med kommersiell programvara. AUR-paket som får tillräckligt med användarröster kan flyttas upp till ett vanligt Arch-arkiv som kallas community-repository.
Problemet med AUR blir uppenbart när du kokar ner det till grunderna. Det är en samling skript från slumpmässiga användare över hela internet. Och de vill att du kör dem på din dator.
För att minska riskerna granskas uppladdade skript av kvalificerade, respekterade volontärer, så kallade betrodda användare. De betrodda användarna inspekterar och testar PKGBUILDS och tar bort alla som innehåller farliga misstag eller skadliga avsikter.
RELATERAT: Hur man uppdaterar Arch Linux
Farorna med att använda AUR
Det är en mycket sällsynt händelse, men ibland glider saker genom nätet, trots de pålitliga användarnas flit. Tillbaka 2015 raderade ett Valve Software Steam skript din hemkatalog om du tidigare hade flyttat Steam-katalogen till en ny plats.
Myckligare var incidenten 2005, då ett föräldralöst AUR-paket tagits över av en ny underhållare som medvetet lade till skadlig kod till PKGBUILD-filen. Dessa exempel är gamla och ovanliga, men samma saker kan hända igen.
Naturligtvis, om du är tillräckligt skicklig kan du själv granska innehållet i PKGBUILD-filen. Denna transparens är en av AUR:s styrkor, men den kräver tillräcklig skriptkunskap för att dra nytta av den. Och det täcker bara själva PKGBUILD-filen. Om den drar in en massa programkällkod, bör det teoretiskt också kontrolleras.
Andra faror med att använda AUR är distributionsbaserade. Inte alla Arch-baserade distributioner är tillräckligt Arch-liknande för att AUR ska fungera felfritt. AUR:n antar att den installeras på äkta Arch Linux, och en fullständigt korrigerad och uppdaterad version. Manjaro, till exempel, stödjer inte officiellt AUR även om den är Arch-baserad.
Men med tanke på att din distribution stöder AUR, vad kan du göra för att se till att du’ ;använder du det så säkert som möjligt, oavsett om du förstår källkod och skalskript eller inte?
AUR Säkerhet: Kontrollera paketets detaljer och rykte
h2>
Även utan kodgranskning finns det steg du kan vidta för att hjälpa dig avgöra om du kan lita på ett AUR-paket.
Hitta ditt paket på AUR
Det finns en sida i AUR för varje paket. Paketets webbsida beskriver paketet, vilka beroenden det har, vilka paket som beror på det och annan användbar information. Börja din undersökning genom att gå till AUR och söka efter ditt paket.
Vad är dess rykte?
Paket kan röstas fram av användare, och varje paket får också ett popularitetspoäng. Ju fler röster och ju högre popularitet, desto bättre. Det betyder att paketet är välkänt och flitigt använt. Det är med andra ord ett välrenommerat paket.
paketets rykte är en god indikation på dess tillförlitlighet. Ju fler som använder den och röstar på den, desto bekvämare kan du känna dig när du använder den.
Kontrollera aktivitetsdatumen
I “Paketdetaljer” avsnitt ser du dess röster, popularitetspoäng och två datum. Det ena är när paketen först introducerades i AUR och det andra är när paketet senast uppdaterades.
The “Senast uppdaterad” datum kommer att berätta om paketet underhålls aktivt. Förpackningar som har legat i vila under en längre tid bör behandlas med försiktighet.
Är Upstream URL en giltig plats?
Kontrollera även “Upstream URL” och verifiera att den går till en giltig webbsida eller kodlager för paketet eller projektet. Om det inte gör det är något fel.
Läs användarkommentarerna
Det finns användarkommentarer längst ned på varje AUR-sida. Dessa kan sträcka sig över många sidor. Se vad andra användare säger om paketet och vilken typ av frågor de ställer. Se även vilka lösningar som erbjuds på frågor som tas upp. Finns det några nya kommentarer? Har det här paketet fortfarande en aktiv användarbas?
Registrera dig och delta
Om du registrerar dig på AUR och skapar ett gratiskonto kommer du att kunna lämna kommentarer och fråga frågor. Använd också andra resurser som forum och subreddits för att fråga om paketet.
Även om du inte förstår skalskript, finns det fortfarande ett par saker du kan kontrollera.
Kontrollera innehållet i PKGBUILD och andra filer
Ett vanligt sätt att komma åt AUR är med en kommandorad “AUR helper“ 8221; till exempel yay, men du kan också använda AUR på ett praktiskt, manuellt sätt.
Bra AUR-hjälpare ger dig möjlighet att inspektera PKGBUILD-filen och stoppa installationen om du inte vill fortsätta. I den manuella processen söker du efter paketet på AUR och laddar ner PKGBUILD-filen och inspekterar den innan du använder den. Om du är glad att fortsätta efter att du har granskat det, kör du makepkg manuellt.
Det är en bra idé att installera minst ett paket manuellt, så att du kan mekaniken vad AUR-hjälparen gör i bakgrunden. Vi kommer att använda yay AUR-hjälpen som exempel.
Paketet skickades in första gången 2016 och uppdaterades senast i maj 2023. I skrivande stund är det en mycket ny uppdatering. Anmärkningsvärt är också att den ursprungliga insändaren, den nuvarande underhållaren och den sista personen som paketerade programvaran alla är samma person. Den kontinuiteten är ett gott tecken.
Klicka på “Git Clone URL” URL-länk i “Paketdetaljer” sektion för att kopiera den till urklipp.
I ett terminalfönster, skriv “git clone”, ett mellanslag, och tryck sedan på Skift+Ctrl+V för att klistra in URL:en på kommandoraden . Tryck på “Enter” för att starta nedladdningen.
git clone https://aur.archlinux.org/yay.git
När nedladdningen är klar, byt till den nya “yay” katalog.
cd yay
Låt oss se vad filer vi har.
ls
Det finns en singel filen, filen PKGBUILD. Ofta finns det ytterligare en eller två hjälpfiler. Titta igenom dem också. Vi kommer att använda mindre för att läsa vår enda fil.
mindre PKGBUILD
Vilka webbadresser använder PKGBUILD-filen?
< p>En välformad PKGBUILD-fil som följer konventioner kommer att skapa variabler för att hålla URL:erna som den använder. Detta ger oss en snygg lista överst i filen med webbadresserna som PKGBUILD kommer att referera till. I det här fallet finns det bara en.
Vi kan se att den pekar på en GitHub-sida för yay-projektet.
GitHub-sidan ägs av en användare med samma namn som underhållaren som var listad på AUR-sidan för detta paket. Det här är två goda indikationer på att detta är ett säkert paket.
Men vi fortsätter och tittar lite djupare.
Leta efter nedladdningskommandon
Använd mindre sökfunktionen för att söka i filen efter användning av wget eller curl. Båda dessa verktyg kan användas för att hämta fjärrfiler. En väluppfostrad PKGBUILD borde inte ha något behov av sådan aktivitet.
Om du hittar några händelser, behandla dem som en röd flagga och installera inte paketet förrän du är säker på att det är godartat. Vilken är webbadressen som kommandona wget eller curl refererar till? Ser de legitima ut och relaterade till paketet?
Om du kan få bekräftelse från en pålitlig källa att PKGBUILD är pålitligt, och att det bara är skrivet på ett sätt som inte följer konventioner kan du fortfarande välja att installera den.
Leta efter rm, mv och andra farliga kommandon
På samma sätt behöver en PKGBUILD-fil inte innehålla rm- eller mv-kommandona, och de borde inte heller behöva referera till något i ’ 8220;/dev” katalog. Om PKGBUILD direkt anropar pacman, eller nämner systemctl, systemd eller någon annan viktig systemkomponent som grub, behandla PKGBUILD-filen som farlig och kör den inte.
Du kan utföra stegen vi har använt hittills även om du inte kan läsa skalskript. Om du kan något skalskript, kan du granska den faktiska koden i PKGBUILD.
Var försiktig med obfuskerad kod
Människor som skriver skadlig kod försöker ofta dölja dess avsikter genom att fördunkla. Det. De använder minimalistisk, kortfattad, ogenomtränglig syntax så det är svårt att tyda vad de försöker göra. Om du ser några linjer som använder omdirigering eller call sed eller awk , behandla dem som misstänkta.
Om du kopierar dessa rader och släpper dem i en online-tolkare som explainshell.com packar du upp dem så att du kan se vad du faktiskt gör. Om du konfronteras med en tätt packad röra av parenteser, semikolon och et-tecken, är det värt att använda en online-tolkare för att dubbelkolla att du har tolkat vad raden försöker göra. Men generellt sett är svårläst kod ett varningstecken.
Ditt /hem ska vara ditt slott
PKGBUILD-kompileringar och konstruktioner sker i en chroot-miljö.
< p>Dessa är isolerade minifilsystem som låter utvecklare sandlådeprocesser genom att begränsa deras åtkomst till resten av din dators filsystem och minska deras åtkomst till andra systemkommandon.
Om PKGBUILD manipulerar direkt. din hemkatalog, behandla det som en varningsflagga. Se till att du helt förstår vad den gör innan du bestämmer dig för att köra den.
Du kan hjälpa andra AUR-användare
Med extremt populära paket är det mycket troligt att du är säker. På grund av det höga antalet användare upptäcks problem snabbare och rapporteras snabbare. Du kan göra din del genom att rapportera eventuella problem du hittar och rösta upp bra paket för att förbättra deras rykte.
Om du upptäcker att det finns ett problem med ett paket som gör att du inte vill installera det, kan du hitta dig själv i kläm eftersom du behövde det paketet. En väg framåt är att be på forum om förslag på andra paket som kan tillfredsställa just det behovet.
Linux har vanligtvis många sätt att flå en given katt.
RELATERAT: Hur man installerar Arch Linux från ett GUI
LÄS NÄSTA
- › NZXT relähögtalare och subwooferrecension: en enkel uppgradering för ditt spelljud
- › NZXT’s nya headset och PC-bordshögtalare ser bra ut
- › Är Hola VPN säkert på Chrome?
- › Philips Hue-appen får nya funktioner
- › Amazon Prime Day kommer tillbaka i juli
- › Den nya Logitech MK370 är ett tangentbord & Muskombination för $40