In den letzten paar Wochen kam es gelegentlich zu Berichten auf einschlägigen Newsseiten über Fernzugriffstrojaner in AUR-Paketen die vorgaben, beliebte Software bereitzustellen.
Auch wenn die Berichte oft etwas reißerisch formuliert sind, und man sich von ihnen nicht verrückt machen lassen sollte (zumal die betroffenen Pakete schon vor dem Erscheinen der Berichte gemeldet und entfernt wurden), so haben sie dennoch einen wahren Kern.
Das AUR – Arch User Repository – ist keine Sammlung an Software, die durch Arch-Maintainer geprüft und administriert wird. Im AUR kann jeder der es möchte, PKGBUILDs bereitstellen aus denen dann ohne weitergehende Prüfung oder Validierung seitens der Arch-Maintainer Installationspakete gebaut und Programme installiert werden können.
Dies bedeutet daher auch, dass es Möglich ist, Pakete zu erstellen die schädliche oder zerstörerische Aktionen ausführen können. Und das nicht nur nach der Installation, sondern schon beim bauen des Installationspakets aus dem heruntergeladenen PKGBUILD.
Es sei daher aus gegebenem Anlass an dieser Stelle noch mal darauf hingewiesen, dass beim bauen von Paketen aus dem AUR, die AUR-Sicherheitshinweise berücksichtigt werden sollten (siehe auch der Wiki-Artikel dazu, inklusive Beispiel eines problematischen PKGBUILDs).
- Vor dem Bau eines Pakets aus dem AUR sollte man auf jeden Fall die Kommentare lesen.
- Wenn man ein Paket baut, sollte dies mit einem Useraccount geschehen, der keine Rootrechte hat.
- Die im PKGBUILD referenzierten Quellen (
url= und source=) sollten nicht auf „Alternativen“ verweisen, sondern den Originalquellen des Programmentwicklers entsprechen.
- Wenn im PKGBUILD Scripte ausgeführt werden, sollten diese vor dem Bauen des Programms ebenfalls geprüft werden.
Diese Sicherheitshinweise sollten auch beachtet werden, wenn man Pakete mithilfe eines AUR-Hilfsprogramms erstellt. Moderne AUR-Hilfsprogramme bieten dazu entsprechende Funktionen an, die man auch nutzen sollte.
Darüber hinaus sollte man Programme aus dem AUR mit bedacht auswählen. Wenn es sich um ein „beliebtes Programm“ handelt, ist es eventuell in den normalen Repositorys schon verfügbar.
Auch bei Programmen im AUR die zum Beispiel keine Downloads und keine Kommentare haben, und von einem nagelneuen Useraccount gerade erst hochgeladen wurden und sich namentlich an ein beliebtes Programm anlehnen, sollte man Vorsicht walten lassen.
Wenn man sich unsicher ist, besteht die Möglichkeit, im Wiki nach dem Programm zu suchen, eventuell gibt es ja einen Artikel der das richtige Vorgehen zur Installation beschreibt. Auch kann man natürlich jederzeit bei uns im Forum fragen oder das englische Forum konsultieren. Zudem gibt es mit aur-general auch eine Mailingliste mit AUR-spezifischen Themen.