Suche Installationshilfe bei Arch Paketen für Manjaro

[m.Kobold]

Hallo,
Ich möchte meine VPN Software (AirVPN) unter Linux installieren und weil es dort kein Offizielles Paket (Ich glaub Pacman ist der Offizielle installer in der GUI) gibt, aber ich sehe dort 4 angebotene Arch Repo's... nur wie finde ich jetzt raus ob diese Pakete jetzt kein Virus Enthalten oder ob die dateien vielleicht manipuliert wurden!?

Ich hab öfters gehört das man Arch Repo's nicht blind vertrauen sollte, nur wie verifiziere ich denn zu 100% das die Daten wirklich sauber sind? Bei irgendwelche Youtube Videos klicken die Streamer blind auf irgendwelche angebotenen Pakete... ist das nicht grob fahrlässig?

Eine andere Frage ist... sollte ich überhaupt auf diese Arch Repo's installieren, wenn die Webseite (https://eddie.website/) ebenfalls einen Installer für Eddie OpenVPN dort anbietet?

Ich habe bereits eine datei names eddie-ui_2.18.9_linux_x64_arch.tar.xz runtergeladen? Und wie installiert man so ein Paket?

 

[madmax2010]

https://aur.archlinux.org/packages/airvpn-bin/

gibts compiled als aur paket.

Mit einem Aur manager deiner wahl installieren

Immer aus den repos installieren, so lange pakete noch einen aktiven maintainer haben. Sonst darfst du täglich nachsehen welche deiner programme und deren Abhängigkeiten noch updates brauchen und du darfst auch schritt für schritt deine abhängigkeiten selbst installieren. Das tut weh und nervt. So hast du immer ein halbwegs aktuelles Patchlevel.

Unter Windows wird das ja noch immer akzeptiert, aber ich habe seit vielen Jahren das motto: Was es nicht als maintaintes paket gibt, das installiere ich nicht. Wenn ich es wirklich brauche, muss ich das Paket dann halt im Zweifel selbst maintainen

 

[m.Kobold]

@madmax2010
Ich versteh zu 70% nur Bahnhof, also maintainer sind die Leute die das Paket in meiner GUI suche (über Pacman) als Arch Repo dort anbieten, richtig?

Also sollte ich das Paket mit den meisten upvotes installieren, weil das Paket dort schon länger von der selben Person geflegt wird?

Aber die gefahr das der Maintainer (in diesem Fall: Uncle) dort etwas manipulieren könnte, besteht doch trotzdem oder nicht?

Und wenn ich jetzt die installation selbstständig durchführe, dann muß ich auch die abhängigkeiten einstellen?

Sollte ich also den (Alternativen) installation befehl von den Beiträgen in deinen Link dort nehmen, muß ich selbst maintainen?

sudo pacman -U "/path/to/file/eddie-ui_(version.number)_linux_x64_arch.tar.xz"

 

[madmax2010]

Ups. Sorry Beantworte ich dir morgen punkt für punkt. jetzt erstmal Bett

 

[Fried.Ice]

Bitte informiere dich zunächst einmal, was das AUR ist:

• https://wiki.archlinux.org/index.php/Arch_User_Repository (englisch)
• https://wiki.archlinux.de/title/Arch_User_Repository (deutsch)

Ich versteh zu 70% nur Bahnhof, also maintainer sind die Leute die das Paket in meiner GUI suche (über Pacman) als Arch Repo dort anbieten, richtig?

Maintainer sind die Personen, die die PKGBUILDs (siehe Wiki), veröffentlichen und aktuell halten, zB. wenn neue Versionen erscheinen. Das sind nicht zwangsläufig die Personen, die sie Software an sich programmieren und veröffentlichen, sondern in der Regel Außenstehende.
Die PKGBUILDs sind die Anleitungen, die für die automatisierte Erstellung von Paketen genutzt werden.

Aber die gefahr das der Maintainer (in diesem Fall: Uncle) dort etwas manipulieren könnte, besteht doch trotzdem oder nicht?

Das AUR bietet Gefahren, weil dort prinzipiell jeder beliebige PKGBUILDs anbieten kann, also im Zweifellsfall auch kompromitierte Software.

Das Gute ist aber: Im Vergleich zu den PPAs von Ubuntu kannst du dir beim AUR anschauen, was wie heruntergeladen, gebaut und installiert wird.
Auf dem sicheren Weg bist du, wenn du dir einfach den entsprechenden PKGBUILD ansiehst, um nachzuvollziehen, aus welchen Quellen Dateien geladen werden und was dann mit denen gemacht wird, um das Paket zu bauen.
In deinem Fall wäre das also https://aur.archlinux.org/cgit/aur.git/tree/PKGBUILD?h=airvpn-bin (unter dem entsprechenden AUR-Web Eintrag rechts auf "View PKGBUILD" klicken).

Wenn dir dazu das Know-How fehlt, kannst nur eigentlich nur darauf hoffen, dass das Paket sauber ist. Viele Upvotes und/oder eine hohe Popularität sind aber Indikatoren dafür, dass sich das Paket sicherlich schon einige Leute mal angeschaut und als gut empfunden haben.

Und wenn ich jetzt die installation selbstständig durchführe, dann muß ich auch die abhängigkeiten einstellen?

Sollte ich also den (Alternativen) installation befehl von den Beiträgen in deinen Link dort nehmen, muß ich selbst maintainen?

sudo pacman -U "/path/to/file/eddie-ui_(version.number)_linux_x64_arch.tar.xz"

Korrekt. Da das auf der Herstellerseite vertriebe Paket schon ein Arch-konformes Paket zu sein scheint, wirst du bei der Installation aber benachrichtigt, welche Abhängigkeiten fehlen. Die kannst du dann manuell installieren.

In diesem Falle musst du dann aber, wie du bereits festgestellt hast, bei jedem Update das Paket selbstständig neu herunterladen und installieren. Ist also nicht empfehlenswert.

PS: Auf der Projektseite wird das offizielle Paket aus dem AUR erwähnt. Das würde ich in deinem Fall nutzen:
https://airvpn.org/linux/ (auf "Arch" klicken)
Official AUR packages are [URL='https://airvpn.org/external_link/?url=https%3A%2F%2Faur.archlinux.org%2Fpackages%2Feddie-ui%2F']eddie-ui[/URL] (latest stable) and [URL='https://airvpn.org/external_link/?url=https%3A%2F%2Faur.archlinux.org%2Fpackages%2Feddie-ui-git%2F']eddie-ui-git[/URL] (latest beta). Both compiled from sources.
Aber: Im Gegensatz zum -bin Paket werden diese hier auf deinem Rechner selbst kompiliert. Je nach verbauter Hardware und Kopmplexität des Programms kann das eine Weile dauern.

PPS: Der PKGBUILD vom im #2 Verlinkten airvpn-bin macht nichts anderes, als das fertige Paket von der Herstellerseite herunterzuladen und zu entpacken.
Dieses AUR Paket gibt überflüssige Make-Dependencies zu cmake an. Das ist nicht schlimm, aber wirklich sauber ist das auch nicht...

@m.Kobold welchen AUR Manager nutzt du denn? Gib gerne auch eine Rückmeldung, ob alles funktioniert hat =)

 

[m.Kobold]

Dieses AUR Paket gibt überflüssige Make-Dependencies

Und überflüssige Dependencies können dann das System instabil bzglw. bei einer VPN Software sogar
unsicher machen?

Da das auf der Herstellerseite vertriebe Paket schon ein Arch-konformes Paket zu sein scheint, wirst du bei der Installation aber benachrichtigt, welche Abhängigkeiten fehlen. Die kannst du dann manuell installieren.

Ist das kompliziert? Sind die Abhängigkeiten bei Arch-Konformen Paketen vorgegeben und müssen nur bestätigt werden?

In diesem Falle musst du dann aber, wie du bereits festgestellt hast, bei jedem Update das Paket selbstständig neu herunterladen und installieren. Ist also nicht empfehlenswert.

Manuelles Runterladen und Installieren wäre für mich in Ordnung, solange man so ein Paket einfach überschreiben könnte (Das wird in diesem Fall eh relative selten aktuallisiert). Aber das kann man wohl nicht erwarten oder?

 

[Fried.Ice]

Und überflüssige Dependencies können dann das System instabil bzglw. bei einer VPN Software sogar
unsicher machen?

Nein, du hast im Zweifel einfach nur ein (ofizielles Arch/Manjaro-) Paket mehr installiert, als notwendig. Das ist nur ein Formfehler, nichts was sicherheitstechnisch oder stabilitätsmäßig Probleme macht.

Ist das kompliziert? Sind die Abhängigkeiten bei Arch-Konformen Paketen vorgegeben und müssen nur bestätigt werden?

Wenn du das Paket mit pacman -U paket-abc.pkg.tar.xz installierst wird er dir einfach als Fehler ausgeben, welche Dependencies fehlen. Die kannst du dann mittels pacman -S dependency-a dependency-b nachinstallieren, sofern sie aus den ofiziellen Paketquellen kommen.

Manuelles Runterladen und Installieren wäre für mich in Ordnung, solange man so ein Paket einfach überschreiben könnte (Das wird in diesem Fall eh relative selten aktuallisiert). Aber das kann man wohl nicht erwarten oder?

Wenn du die neue Version mit pacman -U paket-abc.pkg.tar.xz installierst und du bereits ein Paket mit dem gleichen Namen installiert hast, ersetzt pacman einfach das alte. Du musst in dem Fall also nicht weiter machen.


Aber, wie bereits mehrfach erwähnt, nutze eine Version aus dem AUR. Vor allem, da es ja scheinbar ein vom Softwareentwickler selbst empfohlenes Paket gibt - eddie-ui.
Wie du das machst, hängt von deinem verwendeten AUR Manager ab. - https://wiki.manjaro.org/index.php/Arch_User_Repository


PS: Eventuell kommst du auch eleganter weg, wenn du einfach eine bereits in den ofiziellen Repsoitories verfügbare Pakete nutzt. Je nachdem halt, ob du die zusätzlichen Features brauchst, oder nur eine GUI zur Konfiguration von OpenVPN. Falls letzteres der Fall sein sollte, kannst du einfach networkmanager-openvpn nutzen.

 

[m.Kobold]

Okay, ich werde mich morgen dann zurückmelden... danke.

 

[m.Kobold]

Ich hab das Paket names eddie-ui nochmal angeguckt, sieht auf dem ersten Blick sauber aus, war kinderleicht über das GUI zu installieren aber ist ja auch keine Kunst wenn man nur auf einen Install Knopf klicken muß, weil die Maintainer die ganze Arbeit gemacht haben

Ich werde mich in Zukunft dann wohl mit anderen Programmen die bestimmt noch auf mich zukommen, dann nochmal stärker mit dem Thema auseinander setzen.

Wie schauts denn mit den Antivirus Programm Clam AV aus? Sollte doch auch dazu beitragen ob man AUR Pakete vertrauen kann oder sind dort die false positive zu hoch?

Offtopic:
Weiß jemand ob es normal ist wenn mir die VPN Software unter Linux sagt... SSL nicht verfügbar.
Liegt das vielleicht an meiner installierten Firewall (GUFW)?

Unter Windows gibt es dort keine Meldung und das SSL Protokoll wird im launcher angezeigt.
Wird das unter Linux vielleicht anders verschlüsselt, das man dort kein SSL benötigt?

 

[Fried.Ice]

Wie schauts denn mit den Antivirus Programm Clam AV aus? Sollte doch auch dazu beitragen ob man AUR Pakete vertrauen kann oder sind dort die false positive zu hoch?

Ich persönlich halte davon nicht viel und nutze seit meinem Beginn mit Arch 2013 keinerlei Antivirensoftware.
Soweit ich weiß, ist ClamAV auch kein Echtzeitscanner. Insofern wäre das zusätzlich umständlich.
Vielleicht kann dazu jemand anderes etwas Fundierteres sagen.

Offtopic:
Weiß jemand ob es normal ist wenn mir die VPN Software unter Linux sagt... SSL nicht verfügbar.
Liegt das vielleicht an meiner installierten Firewall (GUFW)?

Laut https://aur.archlinux.org/packages/eddie-ui/ hat das Paket optional dependencies genau für diesen Fall:

openssh (openssh-hpn-git, openssh-git, openssh-gssapi, openssh-hpn, openssh-selinux) (optional) – VPN over SSH
stunnel (stunnel-systemd-git) (optional) – VPN over SSL

Du müsstest also stunnel installieren, dann sollte das funktionieren.

 

[m.Kobold]

@Fried.Ice
Danke nochmal, wenn man nach und nach das eine oder andere Programm unter Linux zum laufen bekommt,
hab ich das gefühl so langsam warm mit Linux zu werden... obwohl es noch ein langer Weg, Linux für mich
perfekt zu konfigurieren.

Ich bin echt froh, so langsam von Windows weg zu kommen.