[AUR] sécurité (RESOLU)

[zeroNux]

Salut,

Sachant que le dépôt AUR est accessible à tous les users, un problème de sécurité se pose ?
Y a t-il une autre solution que AUR ?

[benjarobin]

On est bien d'accord, n'importe qui peut envoyer n'importe quoi sur AUR.
Mais la sécurité c'est toi quand tu relis le PKGBUILD avant de compiler le paquet.
De plus tu peux aussi regarder le nombre de vote qui t'indique la popularité du paquet.
Sinon non il n'y a pas d'autres solutions, mais en tout cas c'est une solution bien moins pire que les dépôts binaires non officiels des autres distributions.

[zeroNux]

Le paquet compilé doit être vérifié également ?

Autre question sans rapport : j'ai des jeux linux .deb, il faut les repackager pour arch ?

[benjarobin]

Les vérifications réalisables sur un paquet compilé sont très limités...
Bien sur aucune vérification n'est nécessaire sur les paquets officiels (heureusement)
Sinon oui, tout paquet ne venant pas de ArchLinux doit être refait

[zeroNux]

Donc le paquet peut être compromis...

Repackager un paquet proprio ne pose pas de problème ?

[benjarobin]

Donc le paquet peut être compromis...

Pas sur de comprendre de quoi tu parles. Que tu construises un paquet à partir des sources ou à partir de binaire dans tous les cas le checksum est vérifié, donc non on ne peut pas compromettre comme cela un paquet, si tu as bien vérifiés le PKGBUILD.
Par contre quand tu utilises sous d'autres distributions des dépôts non officiels tu as presque aucun moyen de vérification...

Repackager un paquet proprio ne pose pas de problème ?

Distribuer un paquet ArchLinux compilé et généré depuis une source propriétaire (binaire ou non) peut dans certains cas être interdit. Mais cela tombe bien sur AUR on ne distribue rien, à part un script : le PKGBUILD.

[zeroNux]

Distribuer un paquet ArchLinux compilé et généré depuis une source propriétaire (binaire ou non) peut dans certains cas être interdit. Mais cela tombe bien sur AUR on ne distribue rien, à part un script : le PKGBUILD.

J'ai du mal comprendre un truc sur AUR alors.
Du vient le paquet que l'on compile via le PKGBUILD ?

[benjarobin]

Le PKGBUILD n'est qu'un script bash (avec certaines conventions). Les sources (binaires ou non) sont généralement téléchargés sur le site officiel de l'application ou sur un miroir. Puis l'intégrité des sources est vérifié via un md5sum ou sha*sum. Je te conseil d'ouvrir un PKGBUILD pour te faire une idée, par exemple https://aur.archlinux.org/packages/slim-unicode/

[zeroNux]

OK, merci, j'ai regardé le lien et c'est plus clair.
Du coup suffit de vérifier la source dans le PKGBUILD et le MD5 pour savoir la validité du paquet.
Et un check du script pour vérifier l'install.

Tu as un lien pour apprendre le repack du paquet ?

[Xorg]

Autre question sans rapport : j'ai des jeux linux .deb, il faut les repackager pour arch ?

• 1. Tu as la méthode bien sale qui consiste à extraire le .deb (c'est une archive), et dedans il faut de nouveau extraire le fichier data.tar.xz : il est possible de copier le contenu à la racine de ton système, mais je te le déconseille très fortement.
• 2. Tu as une méthode similaire où tu fais quelque chose de similaire à l'aide d'un PKGBUILD, et tu peux mettre proprement des dépendances, ainsi que tu pourras proprement désinstaller le paquet, et tu ne cassera pas ton système.
• 3. Je crois que sur AUR, on trouve des paquets qui peuvent convertir un .deb en un .pkg.tar.xz ; j'ai jamais testé.
• 4. Tu peux t'amuser à essayer de retrouver les sources de ce paquets pour compiler un paquet natif pour ArchLinux.

Personnellement je suis plus pour la méthode 4, et si ce n'est pas possible je passe à la 2.
Je ne comprends rien à la façon dont sont créé les .deb, j'ai beau farfouiller sur le site de Debian les sources des paquets, ça ne m'aide pas, ce qui fait que j'ai déjà eu recours à la méthode 2.

Des liens pour apprendre à créer des paquets, oui il y en a : Standard paquetage et PKGBUILD.

[zeroNux]

Autre question sans rapport : j'ai des jeux linux .deb, il faut les repackager pour arch ?

• 1. Tu as la méthode bien sale qui consiste à extraire le .deb (c'est une archive), et dedans il faut de nouveau extraire le fichier data.tar.xz : il est possible de copier le contenu à la racine de ton système, mais je te le déconseille très fortement.
• 2. Tu as une méthode similaire où tu fais quelque chose de similaire à l'aide d'un PKGBUILD, et tu peux mettre proprement des dépendances, ainsi que tu pourras proprement désinstaller le paquet, et tu ne cassera pas ton système.
• 3. Je crois que sur AUR, on trouve des paquets qui peuvent convertir un .deb en un .pkg.tar.xz ; j'ai jamais testé.
• 4. Tu peux t'amuser à essayer de retrouver les sources de ce paquets pour compiler un paquet natif pour ArchLinux.

Perso je suis plus pour la méthode 4, et si ce n'est pas possible je passe à la 2.

C'est, à l'heure actuelle, pour des jeux proprio donc pas de sources.
Je vais tester la solution 2.

[Xorg]

Soit. J'avais fait comme ça pour un paquet .deb, et je t'avoue que j'ignore si une méthode plus apprécié existe.

PS : J'ai édité mon message précédent en même temps que tu as répondu, je t'ai ajouté des liens.

[zeroNux]

OK, merci.
Je passe en résolue.