News Linux-News der Woche: Schlankeres Ubuntu für SBC, Schadsoftware im AUR

[AlphaKaninchen]

Kann man eigentlich irgendwie in RiscV investieren...?

In eine Firma investieren die z. B. RISC V IP entwickelt, RISC-V CPUs herstellt oder Produkte die diese CPUs nutzen.

Ergänzung (21. Juli 2025)

ich weiß ja, dass der dezentrale Ansatz das quasi verhindern soll, aber es muss doch eine Möglichkeit geben mich an der Entwicklung irgendwie zu beteiligen?

Das bezieht sie nur auf die ISA, wenn z. B. WD seinen RISC V CPU an andere verkaufen möchte oder an jemanden lizenzieren möchte können sie das tun, mit Blick auf ARM vs Qualcomm sogar einfacher als bei ARM.

Wirklich unbeschränkt sind bei ARM nur Apple und AMD, alle anderen unterliegen mW einer Lizenz die in Dauer / Umfang / Produktgruppen eingeschränkt ist.

 

[Mondgesang]

Für viele dieser PAkete gibt es in jeder Distro offizielle Pakete. Da muss man nicht aus dem AUR installieren.

Lass den Arch Jüngern doch ihren Glauben an die Superiority und Übermacht von Arch

 

[Bigfoot29]

Vieles vom AUR kann man auch Pre-Built vom Chaotix-Repo beziehen.

Ich nutze das AUR auch. Als jemand mit eher exotisch moderner Hardware ist z.B. 'linux-mainline' (plus -headers) ein Segen.

Aber ja, AUR ist der wilde Westen. Die Warnmeldungen gibt es nicht aus Spaß. Man kann sich damit ziemlich schnell sein System zerschießen.

Regards, Bigfoot29

Nachtrag: @Mondgesang : Erstens ist Arch nicht perfekt. Es fehlt - afaik - viel Software, die Debian z.B. hat. Das liefert AUR nach. Da ist es eine Notwendigkeit. Aber, und das ist Zweitens, das AUR bietet nicht nur neuere Pakete als das Arch Main Repo sondern auch Alternativen mit anderen Compileroptionen. Z.B. experimentelle Features oder extern eingepflegte Fixes. Das kriegt man (automatisiert) sonst nur bei Lösungen wie Gentoo hin.

 

[Taderaz]

Hmm ich habe am WE testweise Cachy OS installiert und war überrascht, dass es meine Grafikkarte und angeschlossenen Monitore sofort erkannt hat... was auf ein sehr aktuelles Repository schliessen lässt.
Laut google nutzt das AUR per default? Firefox ist der default Browser.
D.h. man ist quasi automatisch damit betroffen?

 

[frazzlerunning]

Nein, wenn du das Paket nicht händisch installiert hast, bist du wahrscheinlich nicht betroffen. @Taderaz

Nur, wenn du ein Paket installiert hast, das firefox-patch-bin in den Abhängigkeiten hat, wird es auch (nach Nachfrage!) mit installiert. Firefox selbst benötigt diesen "Patch" nicht, daher kommt der nicht automatisch auf deinen PC.

 

[Snakeeater]

Wäre ja nicht so, dass bei den Paketen im AUR immer gesagt wird, man solle doch die PKGBUILD lesen.

Für viele dieser PAkete gibt es in jeder Distro offizielle Pakete. Da muss man nicht aus dem AUR installieren.

Wenn die jeweiligen "Hacker" schlau sind, schieben sie Pakete ins AUR die eben nicht als Paket zur Verfügung stehen, wobei ich mir gut vorstellen kann, das es keine Pakete für Librewolf oder Zenbrowser gibt auf Arch.

Das ist schon ziemlich hart und sollte die Leute endlich mal aufwecken, dass das AUR kein gute Entwicklung ist!

Es ist schier unmöglich für den normale Linuxnutzer die AUR Pakete zu "verifizieren".

Edit:
Was man dem Arch Team zu Gute halten muss, dass sie hier schnell reagiert haben innerhalb von zwei Tagen.

 

[Paul09]

Ich setze seit einiger Zeit nur noch unveränderliche Linux-Distributionen ein, in meinem Fall
Fedora-Kinoite auf sda und Fedora-Silverblue auf sdb, und beide laufen ohne probleme perfekt.

Alles was ich brauche bekomme ich von Flatpak oder ich installiere Software mit dem Befehl z.B.;
rpm-ostree install hplip oder rpm-ostree install gparted.

Habe gelesen, das Immutable-Linux die Zukunft gehört.

Unveränderliche Linux-Sicherheit​

Unveränderliches Linux gilt aufgrund seines schreibgeschützten Dateisystems und der Verwendung von Containerisierung als sicherer, wodurch das Risiko unbefugter Änderungen und Malware-Infektionen erheblich verringert wird. Die Unveränderlichkeit des Systems stellt sicher, dass alle vorgenommenen Änderungen vorübergehender Natur sind und sich nicht auf das Kernsystem auswirken, was eine schnelle Wiederherstellung im Falle von Systemausfällen oder Sicherheitsverletzungen ermöglicht. Darüber hinaus isoliert die Verwendung von Containern Anwendungen vom Kernsystem und erhöht so die Sicherheit weiter, indem der potenzielle Schaden begrenzt wird, der durch schädliche Software verursacht werden kann.

• Verbesserte Sicherheit: Unveränderliche Linux-Distributionen erhöhen die Sicherheit, indem sie das Basissystem schreibgeschützt machen, was verhindert, dass Malware und unbefugte Änderungen das Kernsystem beeinträchtigen.
• Verbesserte Zuverlässigkeit: Die schreibgeschützte Natur von Immutable Linux stellt sicher, dass das System nach einem Ausfall leicht in seinen ursprünglichen Zustand zurückversetzt werden kann, was die Zuverlässigkeit verbessert und Ausfallzeiten reduziert.
• Vereinfachte Verwaltung: Die Verwaltung von Immutable-Linux-Systemen ist aufgrund der geringeren Variabilität der Systemzustände oft einfacher als bei herkömmlichen Systemen, wodurch Wartung und Updates vorhersehbarer werden.
• Containerisierung: Anwendungen in Immutable Linux werden normalerweise in Containern ausgeführt, was sie vom Kernsystem und voneinander isoliert und so das Risiko systemweiter Schwachstellen verringert.

Quelle: KI-generiert

 

[startaq]

Klingt so, als hätte jemand das in einem Forenpost bewerben wollen.

Genau so war es. Der Ersteller war so dumm es direkt im offiziellen Arch reddit zu bewerben, wo man die Malware quasi direkt erkannt hat: https://old.reddit.com/r/archlinux/comments/1m30py8/aur_is_so_awesome/

 

[Penman]

Lass den Arch Jüngern doch ihren Glauben an die Superiority und Übermacht von Arch

Das AUR ist nett und gut befüllt. Vermutlich vergleichbar mit PPAs von Ubuntu. Distros haben verschiedene Schwerpunkte und Arch ist halt ziemlich aktuell. Da bekommt man auch relativ neue Fehler ausgeliefert. Ist halt so. Da kann man über ein heftig veraltetes Debian meckern, das dafür ziemlich fehlerfrei ist.

Es fehlt - afaik - viel Software, die Debian z.B. hat. Das liefert AUR nach. Da ist es eine Notwendigkeit.

Gäbe es einen richtigen Maintainer für das Paket, könnte man sicher die eine oder andere Software in das Extra (ehemals Community) Repo bekommen. Das AUR hat halt geringere Hürden und ein geringeres Commitment, dass man sich auch langfristig darum kümmert. Der "Wilde Westen" des AUR ist genau das, was man davon erwartet: Viele Extrapakete, coole Dinge, teilweise veraltet und nicht mehr aktualisiert, alternative Konfigurationen, noch aktuellere (teilweise auf neustem git commit) Software. Das AUR ist so gut wie ein Forum: Jeder kann völligen Unfug posten. Du musst selbst prüfen, wem du vertraust und was du glauben willst.

Um das @Mondgesang Kommentar noch einmal aufzunehmen: Das hochgelobte AUR ist eine tolle Sache und macht Dinge zugänglich. Es ist ungefähr vergleichbar mit einer exe/msi, die man sich irgendwo aus dem Netz zieht. Das mag oft gut gehen, aber die exe, die irgendwo an einem Forenpost verlinkt, kann genauso gut ein Trojaner sein.

Laut google nutzt das AUR per default? Firefox ist der default Browser.
D.h. man ist quasi automatisch damit betroffen?

Nein. Außer du benutzt irgendwie einen AUR Helper wie yay oder trizen. Wenn du bei trizen nicht mit dem -S Schalter installierst sondern einfach einen Namen angibst, durchsucht trizen alle Repos und das AUR nach passenden Paketen. Da kannst du dann ein AUR Paket auswählen.
Pacman selbst kann mit dem AUR nicht umgehen.

Zumindest auf ArchLinux selbst ist das so. Da gibt es auch keinen default Browser. Du wirst wohl eine Arch-basierte Distro benutzen. Da kann deine Aussage wiederum zutreffen

Grundsätzlich gilt beim AUR und JEDER Software, die irgendwo aus dem Internet kommt: Vertrauenswürdigkeit prüfen. Wer hat sie veröffentlicht/gepostet? Wie bekannt ist die Person? Wie viele Posts hat sie gemacht? Wie viel hat sie sonst beigetragen? Wie viele andere Leute nutzen die Software [seit dem letzten Update] -> Siehe Popularity und Votes. Ist das Paket/Patch gut dokumentiert mit Motivation und Änderungen?

@startaq Perfektes Timing mit dem Beitrag! Keine Ahnung, wo man alternativ Werbung für sein AUR Paket machen sollte, aber das ist schon ein wirklich billiger Versuch, den man mit den gerade beschriebenen Fragestellungen mit Leichtigkeit erkennen kann. Schön in den Kommentaren zu seinem Paket veranschaulicht

 

[mibbio]

Das ist schon ziemlich hart und sollte die Leute endlich mal aufwecken, dass das AUR kein gute Entwicklung ist!

Inwiefern muss man da aufwachen? Ist ja nicht so, dass sich das AUR unbemerkt zu einer nicht vertrauenswürden Quelle für Software/Pakete entwickelt hat. Da gab es keine Entwicklung, sondern das AUR war schon immer als "Nutzung auf eigene Verantwortung" deklariert und auch noch nie dazu gedacht, von einer Distribution default ins Paketmanagent eingebunden zu sein.

Was die Nutzer (und auch die Distributionen, die das einfach default einbinden) einfach bewusst sein sollten, es ist und war nie ein offizielles Repository. Es ist nur ein Angebot von Arch, um Software außerhalb der offiziellen Repos nicht am Paketmanager vorbei installieren zu müssen.

Genauso könnte man ja auch PPAs als schlechte Entwicklung bezeichnen oder vergleichbare Konzepte in Paketmanagern anderer Distributionen.

Oh und bei WIndows scheint es irgendwie Niemanden zu stören, dass es dort, bis auf den Windows Store, praktisch gar keine kuratierte, vertrauenswürdige Anlaufstelle für Software gibt. Da wird es als völlig normal empfunden (weil es schon immer so war), dass der Nutzer sich diverse Installer für seine Software irgendwo aus dem Internet runterlädt und selber dafür verantwortlich ist, eine vertrauenswürdige Quelle zu finden.

Bei Windows kräht da irgendwie fast kein Hahn danach, dass dieses Konzept ein super Einfallstor für Schadsoftware bietet und auf der anderen Seite wird eine Linux-Distribution dafür kritisiert, dass man neben den offiziellen Repos auch anderen (nicht kuratierte) Quellen für Software nutzen kann und schon fast als KO-Kriterium hingestellt.

 

[Taderaz]

Danke @Penman Cachy OS ist es bei mir. Soweit ich das nachlesen kann wird paru als default AUR helper benutzt und integriert sich in pacman.
Ich werde so oder so nicht drum rum kommen das noch genauer anzusehen und zu überprüfen bevor ich da etwas beruhigter bin.

 

[Kaito Kariheddo]

Ein AUR helper wie yay oder paru kann auch genutzt werden, wenn man nichts aus dem AUR nimmt. Daher ist das Vorhandensein nichts schlechtes. Und nur weil eines der betroffenen Pakete firefox im Namen hat, heißt es nicht, dass das reguläre firefox betroffen ist. Die Sache zielte ja darauf ab, dass Leute anstatt dem normalen firefox eben den manipulierten installieren.

 

[flaphoschi]

Automatisch könnten die halt auf das System gelangen, wenn die eine Abhängigkeit eines anderen installierten Pakets aus dem AUR sind. Aber das dürfte bei diesen betroffenen Paketen eher nicht der Fall (gewesen) sein.

Womit wir bei einem alten Hinweis sein. Ich erinnere mich, dass die Arch Entwickler keine Fans der AUR-Paketmanager sind. Speziell Yaourt (?) hat früher immer Missbilligung bekommen. Insbesondere sollte man erstmal selbst mit makepkg umgehen können.

Sie sind nicht nicht gegen AUR. Sie sind gegen die Automatisierung, Abhängigkeitsauflösung und zum Teil zu hohe Rechte. Und so bauen sie aus gutem Grund keinen Support dafür in Pacman ein. Als Anwender ist man vollständig auf sich allein gestellt im AUR:

• Kein offiziellen Maintainer
• Keine integrierten Repositories.
• Kein Signierung oder irgend eine Form des Reviews

Dafür darf man manuell installieren was man möchte. Ich betreue auch ein Paket im AUR seit Jahren, halte es so klein und einfach wie möglich und parallel zum offiziellen Paket (mir fehlt die Hintergrundtransparenz).

Jedem Anwender der diese Verantwortung nicht tragen möchte - muss in der offiziellen Paketverwaltung bleiben. Damit behaltet ihr den größten Vorteil von Linux.

Bei Arch oder Gentoo ist der Anteil von “Lasst mich durch. ich weiß was ich tue. Und ich habe Sonderwünsche!” Naturgemäß hoch. Bin ja ein Beispiel. Und der Weg vom AUR in die Extra-Repos ist auch der bevorzugte Eingang zu offiziellen Repos oder Anlernen neuer Maintainer.

PS: Habe nie einen AUR-Helper verwendet. Bei mir sind das vielleicht vier oder fünf Pakete. Alles ohne weiter Dependencykette. Da muss ich dann per Hand durch. Was hoffentlich besser so für mich ist. Der Schmerz für “Habenwill” sollte hoch sein, damit man gründlich nachdenkt.

PPS: Alle Distributionen haben ähnliches in der ein oder anderen Form.

 

[DoS007]

Gibt es irgendeine empfehlenswerte Antivirensoftware für Linux? Also mit Verhaltenserkennung und Signatur Blacklisting (für Leute, die von dieser Nachricht nichts gehört haben, hätten so beispielsweise ggf. automatisch eine Meldung bekommen mit direkter Entfernmöglichkeit).

 

[Penman]

Insbesondere sollte man erstmal selbst mit makepkg umgehen können.

Sie sind nicht nicht gegen AUR. Sie sind gegen die Automatisierung, Abhängigkeitsauflösung und zum Teil zu hohe Rechte. Und so bauen sie aus gutem Grund keinen Support dafür in Pacman ein. Als Anwender ist man vollständig auf sich allein gestellt im AUR:

yaourt ist tot. Deswegen habe ich jetzt trizen. ich finde es super angenehm. Da ich aber ohnehin gerne Pakete auf mehreren Rechnern verteile greife ich auf die aurutils zurück und habe ein eigenes Repo. Wirklich. Nichts gegen die Automatisierung! Ich finde es super, dass aurutils gleich alle Abhängigkeiten aus dem AUR mit baut und ich mein Repo wirft.
makepkg -si auszuführen ist jetzt keine große Kunst, um an ein AUR Paket zu kommen. ArchLinux wird ja auch wegen des recht guten Wikis oftmals gelobt. Und die AUR Seite ist auch gut. Da steht an 2 Stellen der nötige Hinweis.
Das AUR ist verlockend und man wird ja gerne dahin geleitet. Ich bin anfangs auch auf der Wiki Seite gelandet und habe herausfinden müssen, wie das AUR funktioniert, aus dem ich mein begehrtes Paket bekommen wollte.
Wenn eine Distro das einfach ohne klaren Warnhinweis einfach als Möglichkeit integriert, ein Paket zu beziehen, ist das einfach fahrlässig und schlecht. Ähnlich wie Ubuntu mit den proprietären Paketen, die man bei der Installation extra aktivieren muss, sollte das beim AUR auch so sein.

Die Bequemlichkeit von Linux Paketmanagern endet da, wo die Repos ein Paket nicht mehr beinhalten. Und ab da sollte man ein fortgeschrittener, denkender Anwender sein. Das gilt auch für die Nutzung des Chaotic AUR oder anderen 3rd Party Repos!

 

[Flutz]

Trojaner unter Linux? Nicht mal mehr da ist man noch sicher.

Hehe, nicht alle über einen Kamm scheren^^. Linux ist nicht ein System, sondern eine Basis für ganz viele Systeme. Es ist selbst ja davon gar nicht betroffen, nur ein Paketmanager also quasi wie wenn eine App im PlayStore verseucht wurde.

Zum Thema: Olala, Nvidia geht ja jetzt wohl sehr stark in Richtung RISC V, vielleicht entwickelt sich die Architektur dadurch viel schneller, wenns dann zukünftig vielleicht Entwicklerplattformen auf RISC V Basis von NVidia gibt. Das gibt der Befehlsarchitektur schonmal einen fetten Boost in der Entwicklung, wenn damit dann Professionelle Anwendungsgebiete erschlossen werden können.

 

[moan1]

Danke für die News!

 

[l33ch0r]

Das ist schon ziemlich hart und sollte die Leute endlich mal aufwecken, dass das AUR kein gute Entwicklung ist!

Es ist schier unmöglich für den normale Linuxnutzer die AUR Pakete zu "verifizieren".

Edit:
Was man dem Arch Team zu Gute halten muss, dass sie hier schnell reagiert haben innerhalb von zwei Tagen.

Joa genau wie Snaps, PPAs einbinden und jegliche andere Form die über den offiziellen Paketmanager hinausgeht. Das ist das selbe Prinzip wie sich für Windows von irgendeiner Website eine ausführbare Datei herunterzuladen und im Installer immer auf "Weiter" zu klicken.

Wenn du der Quelle nicht vertrauen kannst und nicht in der Lage bist, zu beurteilen, ob ein Paket für dich schädlich ist oder nicht, solltest du diesen Weg nicht nutzen - oder eben mit den Konsequenzen leben.
In diesem Beispiel wird dir ja sogar noch die Möglichkeit gegeben, nachzuvollziehen, was getan wird (siehe PKGBUILD).

Archlinux ist eben nicht für jeden geeignet 🤷‍♂️

 

[Bigfoot29]

Archlinux ist eben nicht für jeden geeignet 🤷‍♂️

Nicht umsonst gibt (gab?) es bei plain Arch nichtmal einen 'richtigen' Installer. Das soll nicht elitär wirken, sondern dem Verständnis dienen, was wie installiert wird. Ich hab mich auch zu einer Arch-Distri durchgetrickst, die einen Installer hat. Aber ich bin auch schon länger bei Linux dabei (und nur zu faul). Für Einsteiger gibt es bessere Distributionen.

Regards, Bigfoot29

Nachtrag: Hier mal ein kleines, aktuelles Beispiel, dass im AUR eben NICHT alles zusammenspielt. 'linux-mainline' und 'zfs-dkms' sind zwar beide aus dem AUR, aber zfs zickt beim Setup, dass der mainline-Kernel - aktueller Standardkernel ist 6.15, in linux-mainline sind wir bei 6.16-rc7 - neuer als 6.15 ist und sich deshalb nicht kompilieren lässt. Wer da nicht aufpasst, kriegt ziemlich schnell Probleme.

 

[mibbio]

Archlinux ist eben nicht für jeden geeignet 🤷‍♂️

Eben, die sollten dann lieber Windows nutzen. Ach ne, das ist in der Hinsicht ja im Prinzip sogar noch schlimmer. Denn dort gibt es nichtmal wirklich eine Paketverwaltung mit offiziellen Repositories. Unter Windows ist es quasi Standard, dass sich Hinz und Kunz ihre Software aus der nächstbesten Quelle im Internet runterladen und auf ihrem System installieren.

Also wenn man Nutzern von (Arch) Linux abrät, aufgrund den Risiken von optionalen 3rd-Party Quellen, sollte man diesen Leute Windows erst recht wegnehmen.