AUR (Manjaro) - in welchem Szenario "Sicher" oder doch lieber Flatpak?

[Gaugler]

Servus,

ich muss sagen, mir gefällt Manjaro ziemlich gut! Der i3 ist sehr schön und nahezu komplett eingerichtet. So ein gutes Gesamtpaket, in Verbindung mit diesem WM, hab ich noch bei keiner Distribution gesehen.

Gleichzeitig will ich zum ersten Mal ein Arch-Basiertes Linux als Produktiv-System einsetzen.
Nun brauch ich einige Programme, die in den Standard-Repos nicht vorhanden sind .
Natürlich hab ich wenig Interesse, mein Produktiv-System zu "zerschießen"

In Verbindung mit dem AUR hab ich jetzt schon einiges gehört.
Die harmloseste Warnung gilt oft den Neulingen "man solle schon wissen, was man tut.". Doch was bedeutet das?

Natürlich werde ich nicht jedes Paket installieren, das mir vor die Füße fällt...
Das man sich vorsichtig bei der Installation von Progammen verhält, sollte aus dem Alltag bekannt sein.

Wie ist diese Warnung also zu verstehen?
Kann es potenziell mit jedem AUR-Paket zu Schwierigkeiten (mit Manjaro) kommen?
Oder wird die Warnung hauptsächlich wegen der Tatsache ausgesprochen, das prinzipiell jeder (Hobby-)Entwickler Projekte hineinstellen kann (und, infolge, auch viel Unfug passiert)?

Wie gesagt, ich möchte Software nutzen, die schon einen höheren Bekanntheitsgrad besitzt...

 

[0x8100]

im zweifelsfall einfach das pkgbuild anschauen. da kannst du die herkunft der software prüfen und ebenso schauen was damit gemacht wird. meistens sind diese anweisungen ja auch recht übersichtlich.

 

[Gaugler]

im zweifelsfall

Eine wage Aussage

Wie gesagt, ich verspüre keine Notwendigkeit, irgendwelche Exotensoftware zu nutzen.

Namentlich gehts um Software aus dem Hause Microsoft oder Onlyoffice, Draw.io ...
Sowas eben.

 

[NJay]

Namentlich gehts um Software aus dem Hause Microsoft oder Onlyoffice, Draw.io ...
Sowas eben.

Dann schaust du einfach ins PKGBUILD. Meistens wird da einfach das Git Repo geclont und das Programm gebaut. Dann kannst du ins Gitrepo schauen, obs das richtige ist. Wenn das alles stimmt, kann nicht mehr viel schief gehen.

 

[Photon]

Ich nutze Arch und Manjaro und betreue einige Pakete im AUR, kann also gerne etwas berichten, wie es da zugeht. Als registrierter Benutzer hinterlegt man einen PGP-Schlüssel, um sich zu authentifizieren, und außerdem einen SSH-Schlüssel, um via Git PKGBUILDs hochzuladen. Andererseits kann natürlich jedermann sich beim AUR registrieren, diese Schlüssel hinterlegen und dann Mist bauen.

Offizielle Pakete werden von Maintainern gepflegt, die auch nicht sicherer authentifiziert sind. Der entscheidende Unterschied besteht aber natürlich darin, dass sie ein Bewerbungsverfahren durchlaufen haben, bevor sie Schreibzugriff auf die offiziellen Repos bekommen haben.

Die Unsicherheit wird ein wenig dadurch abgefedert, dass einige AUR-Nutzer ja doch immer mal wieder in die PKGBUILDs der Pakete reinschauen, die sie selbst nutzen, und so schädlicher Code im AUR auffliegen kann. Eine Sicherheitsgarantie gibt es natürlich trotzdem nicht.

Und dann ist da natürlich die Sache mit defekten oder veralteten Paketen. Die Qualität ist da tatsächlich variabel, manche Pakete werden von ihren Maintainern schlicht nicht mehr betreut. Aber wenn ein AUR-Paket mal kaputt ist, dann hat das sehr selten Auswirkungen auf den Rest des Systems, es sei denn, man installiert den Kernel oder irgendwelche Libraries, an denen dann viel Software hängt, aus dem AUR. Andernfalls geht eben die eine Software kaputt, die aus dem AUR bezogen worden ist, und mehr passiert auch nicht.

Und so furchtbar oft passiert es auch nicht, dass ein AUR-Paket Probleme macht. Im überwiegenden Großteil der Fälle funktionieren AUR-Pakete genauso gut wie Pakete aus den offiziellen Repos.

 

[0x8100]

Eine wage Aussage

Wie gesagt, ich verspüre keine Notwendigkeit, irgendwelche Exotensoftware zu nutzen.

Namentlich gehts um Software aus dem Hause Microsoft oder Onlyoffice, Draw.io ...
Sowas eben.

bin jetzt nicht ganz sicher, was du hören willst entweder vertraust du dem maintainer oder schaust nach, was passiert. bei draw.io wird etwas mehr gemacht, teams dagegen ist trivial.

 

[Gaugler]

Ich danke euch für eure Erklärungen!

Jetzt verstehe ich etwas besser, was da im AUR passiert!
Das mit den PKGBUILD war mir nicht wirklich klar! Hab mir immer ausgemalt, das dieser Code irgendein kryptisches Zeug wäre, das nur Profies verstehen.

Asche auf mein Haupt, das ich nicht schon eher so eine Beschreibung angeschaut habe.

 

[leonavis]

Vielleicht ein allgemeiner Tipp:

Ich bin da relativ locker, auch, weil ich weiß, wie ich es im Notfall reparieren könnte. Ich nutz unter Arch Gnome und hab in die ArchGnome-Update-Extension einfach yay mitreingepackt; weil mir das System noch nie durch ein AUR Schrott gegangen wäre. Auch auf Manjaro hab ich das AUR einfach aktiviert.

Ich hatte jetzt noch nie ein AUR was irgendwas mit dem Kernel gemacht hätte; aus Sicherheitsgründen hab ich den linux-lts trotzdem mit drinne. Aber selbst wenn das zerrissen würde: Im Notfall kann man immer noch über die Installations-DVD booten, arch-chrooten und die Reperaturen vornehmen. Und für den Fall dass alle Stricke reißen hab ich, was ich als wichtige Dateien empfinde, sowieso auf einer Extra-SSD.

Die Sorgen um's System nehmen doch rapide ab wenn man weiß, dass eine Neuinstallation außer ein paar Stunden Arbeit (bzw unter Manjaro <1 Stunde) nichts weiter bedeuten würde. ^^ Kann ich insofern nur empfehlen, solche Sicherheitsmaßnahmen zu benutzen. Ne Extra-SSD zum Sichern kost' ja nicht viel. Und dann kann man halt "einfach machen" und rumprobieren.