Seiten: 1 [2]
|
|
|
|
Autor
|
Thema: @Chris: Pakete die ich in Manjaro nicht gefunden habe (Gelesen 6782 mal)
|
|
Andreas
Administrator
Offline
Einträge: 1140
Linux von Innen
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #15 am: 19. Dezember 2018, 08:07:56 »
|
|
Hi Chris,
System verstanden. Bevor ich jetzt bei Manjaro weitermache habe ich mir gestern Abend noch ein "echtes" Arch Linux installiert und es auf den Stand meiner Manjaro und Antergos Installation angehoben.
Bei Arch selbst kam keines der Probleme auf die ich bei Manjaro hatte. Folglich ist die Ursache darin zu suchen, dass die Manjaro-Quellen eben doch nicht identisch sind mit den Arch-Quellen - und die Maintainer der AURs passen natürlich auf den Stand von Arch an und nicht auf den von Manjaro. Gründe sind also: andere Compilerversionen, andere Bibliothekenversionen etc.
Die Warnung bei Manjaro dass die AURs nicht kompatibel sind ist also durchaus ernst zu nehmen. Dass die zusätzlich Malware enthalten könn(t)en, dass die Programme fehlerhaft sind etc. ist ja sowieso schon so. Zusätzlich sind also wegen der unterschiedlichen Softwarestände durch unterschiedliche Quellen weitere Probleme eingebaut.
Also steht zur Zeit dem Punkt, dass Manjaro einfacher für den Neuling zu installieren ist gegenüber, dass die Nutzung der AURs nicht nur zufällige sondern auch systembedingte Probleme mit sich bringt.
Ich forsche weiter. Gerade in Sachen "Pflege des Systems" braucht das ein paar Wochen bis ich Unterschiede sehe.
LG Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
Chris
Full Member
Offline
Einträge: 164
Okay, wer hat meine Kekse gegessen?
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #16 am: 19. Dezember 2018, 10:19:47 »
|
|
Hi Andreas,
die AURs sind wie ein zentrales PPA für Ubuntu. Nur das man hier vor der Installation vorher prüfen kann ob alles okay ist. Und das die AURs
zusätzlich Malware enthalten könn(t)en, dass die Programme fehlerhaft sind etc.
|
| ist Alltag. Egal ob PPA, AUR, geschlossene Programme, offene Programme, offizielle Quellen, inoffizielle Quellen ... So etwas ist immer möglich.
Und da hilft auch kein Debian, Red Hat, IBM oder sonst wer.
|
|
Gespeichert
|
Der einzig sichere Computer der Welt ist ausgestöpselt, in einem Tresor verstaut und auf dem Meeresboden. Und nur eine Person kennt die Kombination zum Tresor. Und diese ist tot. [Bruce Schneier]
|
|
|
Andreas
Administrator
Offline
Einträge: 1140
Linux von Innen
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #17 am: 19. Dezember 2018, 16:43:04 »
|
|
Natürlich ist das immer möglich. Es ist eine Frage von Wahrscheinlichkeiten - und eine Frage der Verbreitung eines Systems unter absoluten Anfängern.
Etwas was in offiziellen Repos ist ist tendenziell weniger gefährdet, weil es doch öfter von echten Softwerkern quergeschaut wird, als etwas, was in einem "privaten" Pool ist.
Und ein System, das in der Gunst der absoluten Anfänger steigt UND bei dem wichtige Programme nur über den AUR Mechanismus installiert werden können ist ein lohnenderes Ziel für Malware. Von den Anfängern wird keiner den Ursprung der Dateien prüfen, geschweige denn querlesen, was da eigentlich alles auf die Platte kommt und erst Recht kein Blick auf das Projekt selbst (bei GitHub oder SVN) geworfen. Die Chancen dass hier Malware unentdeckt durchkommt sind einfach größer.
LG Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
Andreas
Administrator
Offline
Einträge: 1140
Linux von Innen
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #18 am: 19. Dezember 2018, 18:57:20 »
|
|
Ab jetzt alle Fragen nur noch über Arch direkt - Antergos und Manjaro habe ich aus mehreren Gründen vorerst den Rücken gekehrt (erläutere ich später - verständlich für alle).
Beim Hinzufügen eines Binary-Repos mittels yay bekam ich keine Fehlermeldung. Auch wurde ich gefragt, ob der Schlüssel importiert werden soll, was ich bejaht habe. Ich kann das Repo aber nicht laden, weil "der Schlüssel nicht vertrauenswürdig ist". Also muss ich den Schlüssel explizit auf "trau ihm" setzen. Und zwar den Schlüssel in dem Schlüsselbund von pacman (denke ich). Wie mache ich das? Mit gpg sicher nicht - da wüsste ich wie das geht...
LG Amdreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
Chris
Full Member
Offline
Einträge: 164
Okay, wer hat meine Kekse gegessen?
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #19 am: 19. Dezember 2018, 22:52:10 »
|
|
Ich hielt die Chance, dass du in den AURs Schadcode findest für gering. Um dieser Frage trotzdem auf den Grund zu gehen, habe ich einfach mal "how safe is the arch user repository" in Google und in DuckDuckGo eingegeben.
Das Ergebnis hat mich überrascht. Ja, in den AURs wurde verdächtiger Code gefunden. Ich sage "verdächtig" und nicht "schädlich", weil die Änderungen aufgrund eines Bugs in den Änderungen keine Auswirkungen hatten.
Aber ... einen Treffer bei dieser Suchanfrage zu bekommen hat mich nicht überrascht. Ich wollte auch nicht wissen, ob es solche Vorkommnisse gibt, sondern wie oft. Überrascht war ich, weil das Top-Ergebnis in DuckDuckGo ein Artikel war, der sich um Malware Befund in den AURs handelte. In Google war das Top-Ergebnis ein Reddit Post indem die Frage gestellt wurde, ob das AUR sicher sei.
Für meinen Zweck war DuckDuckGo hier also besser. Das ... hat mich überrascht. Google fand auch einen Artikel. Aber erst auf Platz 8.
Ich habe beide Artikel gelesen. Und beide behandeln den gleichen Fall. In diesem Jahr im Juli wurde 1 AUR Repo als "infiziert" gemeldet. Das AUR Team hat darauf reagiert und innerhalb von 6 Minuten(!) alles bereinigt. Nach weiteren 8 Minuten waren alle Repos, die vom gleichen Maintainer stammen, untersucht und vorhandene Probleme behoben. Der Maintainer wurde natürlich bereits in den ersten 6 Minuten gebannt.
Interessant war auch, welche Artikel "verwandt" waren. Im ersten Artikel wurde erwähnt, dass sich Schadsoftware in 3 Ubuntu Snap-Packages eingeschlichen hatte. Diese konnten direkt im Ubuntu Store installiert werden!
Im zweiten Artikel ging es darum, dass GitHub Passwörter von Gentoo Entwicklern gehackt wurden. Das haben die Angreifer genutzt um schädlichen Code direkt in Gentoo einzupflanzen.
Oder wie war das doch gleich mit "nur beim Entwickler herunerladen"? Linux Mint wurde diesen Februar gehackt und es wurden Versionen mit Backdoors ausgeliefert.
Es gibt *immer* eine Möglichkeit, Schadcode an die Menschen zu verteilen. Da sind die Angreifer recht Einfallsreich.
|
|
Gespeichert
|
Der einzig sichere Computer der Welt ist ausgestöpselt, in einem Tresor verstaut und auf dem Meeresboden. Und nur eine Person kennt die Kombination zum Tresor. Und diese ist tot. [Bruce Schneier]
|
|
|
Andreas
Administrator
Offline
Einträge: 1140
Linux von Innen
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #20 am: 26. Dezember 2018, 16:32:11 »
|
|
Ich hoffe, ihr habt alle ein schönes Weihnachtsfest gehabt - und ich gleich eine neue Frage
In welchem Repo befindet sich bei Arch oder auch Antergos kde-l10n-de? Ich habe dieses Paket zwar in meiner Antergos-Installation - aber es wird moniert, dass es in keinem der Repos mehr ist. Das kann ich nicht recht glauben - das Problem befindet sich vermutlich wieder zwischen Tastatur und Bürostuhllehne...
Das Arch-WIKI hat mir da nicht geholfen. Dort steht man soll das Sprachpaket einfach installieren. Aber was zu tun ist wenn es nicht gefunden wird steht dort nicht. Irgendwo habe ich gelesen (weiß nicht mehr wo) dass große Teile des KDE von extra in die AURs gewandert sein sollen. Aber auch dort finde ich kein kde-l10n-de.
LG Andreas
|
« Letzte Änderung: 26. Dezember 2018, 16:32:34 von Andreas » |
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
heinrich
Jr. Member
Offline
Einträge: 59
Ich liebe dieses Forum!
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #21 am: 28. Dezember 2018, 12:44:23 »
|
|
Hallo Andreas, vielleicht hilft Dir das weiter: https://bbs.archlinux.de/viewtopic.php?id=31983 Das Paket wird scheinbar ab KDE 5 nicht mehr benötigt, weil Deutsch in die einzelnen Programme direkt eingepflegt wird. Gruß Heinrich
|
|
Gespeichert
|
|
|
|
Andreas
Administrator
Offline
Einträge: 1140
Linux von Innen
|
|
Re:@Chris: Pakete die ich in Manjaro nicht gefunden habe
« Antwort #22 am: 28. Dezember 2018, 15:55:16 »
|
|
Hallo Heinrich,
danke für die Info. Das erklärt einiges. Wird also nur für die verbliebenen noch nicht nach QT5 portierten Anwendungen gebraucht...
LG Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es weitergeben, und es Menschen gibt, die bereit sind, dieses Geschenk auch unter eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
|
|
|
Seiten: 1 [2]
|
|
|
|
|
|
|