Altijd al Arch willen proberen, maar nooit aangedurfd?

Ik geef het toe. Arch Linux is niet voor Linux beginners.
Ik begon er maart 2010 mee in de vorm van Archbang een versie van Arch die kant en klaar uit het doosje komt met een goede, weliswaar niet erg mooie Openbox opzet .
De grootste horde voor Arch beginners is de installatie.
Die wordt veel makkelijker met Archbang.
Eenmaal gewend aan de Arch way wil je waarschijnlijk niet anders meer. De grote voordelen zijn: a rolling release model, je hoeft niet je systeem weer iedere half jaar aan te passen omdat het doorlopend aangepast wordt. De software pakketten zijn altijd bijzonder up to date en vanilla, oftewel meestal zo ongewijzigd mogelijk, zoals bedoeld door hun ontwikkelaars.
De Keep It Simple, Stupid benadering brengt vele voordelen met zich mee.
De uitmuntende documentatie is ook gedeeltelijk in het Nederlands voorhanden, zoals de beginnersgids.
Arch is bovendien een van de beste distro's om Linux beter te leren kennen en om zoveel mogelijk controle te leren krijgen op hoe je systeem werkt en er uit ziet.
Het is daarmee ook in combinatie met Openbox het ideale besturingssysteem voor oudere pc's.
En bliksemsnel is het op nieuwe hardware zoals op mijn ruim een halfjaar oude pc.
Met deze blog wil ik mijn ervaringen met Arch delen.

En met Openbox, mijn favoriete windowmanager.
Het zal dus ook vaak over Openbox gaan de window manager die vaak, maar niet alleen op Arch gebruikt wordt. Juist in het Nederlandse taalgebied lees je niet veel over Openbox.
Via Openbox ben ik bij Arch terecht gekomen;
want juist de openbox window manager is doordrenkt van de eenvoud en het gemak, die ik zoek op mijn pc.
Veel lees- en pc-plezier en aarzel niet met vragen of suggesties te komen!!

Friday, March 25, 2011

Zorgen over gebrek aan Package Signing breekt Arch steeds meer op

Oftewel gebrek aan
Zorgen over gebrek aan Package Signing breekt Arch steeds meer op
Ik heb heel de discussie rond package signing sinds die recent opnieuw opdook, nauwkeurig gevolgd en werd zoals ik in een vorige post al meldde slachtoffer van het spervuur dat ontstond uit de neiging om de brenger van het slechte nieuws te vermoorden. Toch lukt het de ter discussie staande Arch devs steeds slechter het vuil onder het tapijt te vegen.
Een artikel rond Arch veiligheid op LWN.net brengt de kwestie bij een groter geïnteresseerd publiek.
De reacties van de betrokken Arch devs zijn furieus: Dan McGee op zijn eigen blog:
maar de verdediging beweegt zich weer op de bekende paden; niemand wou ons helpen en beter geen oplossing dan een voorlopige oplossing. Het is de moeite waard voor de buitenstaanders de commentaren te lezen om te zien hoe de Arch-believers zich totaal discrediteren in stuitende stemmingmakerij en gescheld.
Hier het laatste stuk van het artikel geschreven door Nathan Willis:
As you would expect, there is a lot of heated language between the two, which can make it difficult to separate out the nucleus of each side's complaints. It is clear, however, that other Arch contributors have proposed virtually the same package signing plan as IgnorantGuru in the past, at least as far back as 2008. The core developers have never acted to add signature-checking to Pacman, even though patches have been submitted, yet at the same time have resisted all "interim" solutions as a waste of effort, on the grounds that Pacman is the proper place for package signature work.

For his part, IgnorantGuru posted a Bash script on his own site that allows a user a small amount of integrity checking by comparing the checksums of a package from multiple Arch mirrors. In the weeks since the original post, IgnorantGuru announced that he had given up on the hope that the core developers would ever adopt a package signing solution,......

Threats

In the final analysis, Arch users are exposed to a security threat both by the distribution's lack of package signing and by the core developer's resistance to adopting it. However much the Arch "philosophy" says each user is responsible for his or her own system, IgnorantGuru is correct in his first blog post when he observes that without signatures, the distribution's infrastructure is vulnerable to every exploit found in every other system on the path between the main project server and the user's PC. Any exploit on the OS used by the HTTP or FTP mirror server can allow an attacker to replace an Arch package, and the user has no way to even detect that the change has been made. A network-based man-in-the-middle attack does not even require finding a root exploit on one of the servers; it could be performed at a router or network access point.

As for McRae and the other core developers resisting outside work to implement package signatures, there are at least two levels at which their recent statements are troubling. First, they (and commenters taking their side) invariably bring up the "stop whining or start coding" retort, or its kinder cousin "patches welcome."

In theory that reply encapsulates the open source approach — anyone with an itch can scratch it — which is true on the surface. But it overlooks the reality of distribution maintainership: some tasks, such as security, are vital to the health of the project, even though they might not be anyone's idea of fun. In addition, as the Arch developers' responses have shown, the gatekeepers to a project can still prevent new code and patches from getting accepted if they so choose.

That of course is the second level at which the core developers' resistance is troubling: the fact that they would prevent security patches from going into the project. Some on the anti-signature camp argue (essentially) that if you don't like any decision made by the core developers, you should leave, and cite Arch's "not for the faint-of-heart" philosophy as justification. But that is in direct opposition to the "patches welcome" response. A distribution cannot invite contributions, but then treat contributors with hostility when they arrive.

Moreover, in Arch's case it hardens the anti-signing camp into a position where it denies the reality of the package-tampering threat. You can already see this in some of the responses to IgnorantGuru and the bug reports he filed: commenters minimizing the statistical likelihood of an attack as grounds for not adopting any package signing plan at all.

Perhaps there is no reason to read ill will into any of McRae or the other Arch developers' resistance to package signing; perhaps they only seem hostile in context. But even if that is the case, by preventing others' code from making it into Pacman and the package database, they are letting Arch Linux users remain sitting ducks, as well as driving them away. It's hard to see how either result improves the project.
Posted by at No comments:
Labels: ,

Thursday, March 10, 2011

Arch forum: gebrek aan open discussie en onheus gedrag van mods blijft onbestraft

Van begin af aan viel me op dat de mods op het Arch forum nu niet bepaald gebruikersvriendelijk zijn. De toon is vaak kleinerend en uit de hoogte en de heren permitteren zich zelf allerlei gedrag dat bij een ander leidt tot onmiddellijk sluiten van de conversatie (thread) . Zoals opmerkingen die niet echt ingaan op de vraag (bijv. hoe kom je erbij zoiets te willen) of geleuter over non-topic onderwerpen, die in feite de conversatie om zeep helpen.
Kwalijker is nog dat het zeer riskant is de mod daarop te bekritiseren, want daarop zal of het onderwerp gesloten worden en naar de vuilnis bak verwijderd of als je geluk hebt naar Topics Going Nowhere. Andere mods bespringen de ongelukkige als een troep wolven en proberen je met onware verdachtmakingen onderuit de halen. Hier leg ik uit hoe mij dit overkwam. Dit leidt ertoe dat open discussie en echte verschillen met de heersende mening niet getolereerd worden. Dat betekent niet alleen dat een hoop mensen stuk voor stuk afknappen op deze behandeling, maar ook dat een open sfeer ontbreekt en dat er akelige tekenen van conformiteit en slijmerigheid op het forum tevinden zijn. De boot is helemaal los als Arch zelf kritisch bekeken dient te worden.

Laatst probeerde ik deze onmacht ter discussie te stellen, maar waardering voor je inzet om dit aspect van de Arch "code" te verbeteren is er niet.

Het is zeer teleurstellend dat dit soort sociale onmacht en onvermogen de eigen sociale dynamiek kritisch te bekijken juist verbonden is met een distro als Arch, die verder vele voordelen biedt. Toch is het onvermijdelijk dat deze zwakte de distributie inhoudelijk aantast. Een voorbeeld is het veiligheidsprobleem bij authentificatie van de Arch packages, die je download van de Arch repisitories. In deze blog wordt de reikwijdte van dit probleem aangekaart. Iemand die in zijn onschuld mij en andere forum gebruikers via het forum op deze kwestie wees, werd publiekelijk afgebrand en toen ik ervoor opkwam deze conversatie niet te sluiten, richtte de woede , die zich richt op de brenger van het slechte nieuws zich op mij.

Nou gaat het me even niet om de onheuse behandeling an sich, maar dat deze veiligheidskwestie niet fatsoenlijk wordt voorgelegd aan de Arch-gebruikers. Noch op de beginnerspagina noch op de pacman pagina van de Arch Wiki zul je een verwijzing naar dit probleem vinden. Wel twee losse, bijna een jaar oude pagina's die het probleem beschrijven en tonen dat er aan gewerkt wordt
Het blijkt al 6 jaar te spelen en door het onvermogen om onderlinge verschillen van mening te overwinnen over hoe deze kwestie opgelost moet worden, gebeurt er alsmaar niets en wordt deze kwestie zo snel mogelijk als het weer boven komt drijven onder tafel geveegd.

Doordat de boel zo dichtgetimmerd zit, lijken verbeteringen op het Arch forum voorlopig uitgesloten.

Als je er meer over wilt lezen...
Posted by at 2 comments:
Labels: , , ,
Subscribe to: Posts (Atom)