Зеркало ArchLinux со статусом Untiered.

Вопрос: Чем это может быть чревато?

Время от времени пересобираю образы manjaro. И специально избегаю yandex репозиториев т.к. раз через раз у них то какой-то пакет не скачивается, то версии пакетов перемешаны и вся сборка встаёт колом т.к. пакет хочет версию чего-то ещё, а в репозитории оно более старой версии или тупо не качается.

Но это manjaro зеркало, может для arch внезапно у них всё будет «хорошо». С их debian зеркалом не помню чтобы встречал проблем.

Вопрос: Чем это может быть чревато?

Товарищ майор залезет в твой комп, очевидно же!

Аж интересно стало для чего может потребоваться досить репы рача? Может через недельку в северном полушарии закончатся каникулы и нагрузка спадет?

я яндексы отключил. боюсь корневые сертификаты подсунет для расшифровки трафика

❯ tail -2 /etc/xdg/reflector/reflector.conf
# Главное Россию и Украину исключить
--exclude '\.(am|az|by|kz|md|ru|su|ua|uz)(\/|$)'

Вот я тоже этого боюсь, но мне интересно, есть ли на стороне пакетного менеджера защита от этого, или де-факто всунуть можно все что угодно и он это переварит?

Не знаю, как у других, но у меня с яндексом случались проблемы, он отставал от других реп, причем избирательно. Например попытался обновить нвидию раньше ядра, не встала на старое. Сначала перешел на dkms, но потом догадался сменить зеркало. На данный момент первое в списке:

Server = https://arch.mirror.constant.com/$repo/os/$arch

Рефлектором не пользуюсь, т.к. он предоставлял результат, который на самом деле не давал обновиться вообще.

там есть пакет arch keyring. там доверенные ключи разрабов. пакеты, которые подписаны левыми людьми вроде не устанавливаются, но там так много людей, что среди них запросто может затесаться засланный казачок. зачем разраб пакета xz встроил в него бекдор, так никто и не выяснил (скорее всего продался анб или одной израильской конторе, которая шпионила даже за американскими политиками)

в общем сколько яндекс существует, столько его на всяком паскудстве ловят от написания вирусни типа яндекс-бара до сканирования локальных портов яндекс браузером. безусловно его репозитории использовать нельзя как и любые продукты на машине, где хранятся чувствительные данные

Понял, спасибо большое за наводку. Сравнил по sha256 суммам этот пакет у себя и на repository.su, совпадает.

Я бы в сторону яндекса не смотрел, но эти падения последние 2 недели меня немного вывели, попробую обратно вернуться на repository.su как источник, оно хотя бы по статусу имеет Tier 1, хотя скорость до него у меня заметно ниже.

осень только на следующей неделе. для обострений рано. че ж ты не дотерпел? или таблетки кончились?💊

Сейчас их досят

Но зачем, какой от этого профит?

Думаю, надо переждать, потом продолжить обновляться.

они могут пропихнуть пакет, ты увидишь ошибку integrity, полезешь в гугл, а там тебе посоветуют команду с пропуском валидации… так и поставишь вирусню. в интернете часто всякую дичь советуют на то и расчет… хотя многие добровольно яндекс браузеры и альт линуксы ставят, они в принципе безнадежны

у арча все так работает:

• загрузочный образ содержит доверенные ключи
• пакман при установке пакетов проверяет их подписи
• ты можешь собственоручно добавить эти ключи, ты можешь их удалить, сами они содержатся в пакете arch keyring.

таким образом:

• тебя могут похекаить через iso-образ арча, изначально скопроментированный, ведь мало кто хеши сравнивает скаченного файла и того что на основном сайте
• тебе могут впарить пакет, который ты поставишь, отключив проверку подписи сам
• ты можешь всякое говно поставить без задней мысли из аура. весь мусор что там валяется, никем не проверяется. там строго говоря не пакеты, а просто pkgbuild’ы, в которых команды баша типа склонировать через git такой-то репозиторий и запустить make. одному богу известно, что тебе поставят в итоге

отсюда рекомендации:

• не использовать российские зеркала
• не ставить ничего из aur, используя вместо него flatpak. там все в контейнерах запускается, те нагадить системе оно не может, но важно понимать, что в хомяке тоже чувствительные данные можно украсть, те же незапароленные ssh-ключи. дебилы на них пароли не ставят, хотя kdewallet/gnome-keyring эти пароли запомнит и будет вводить автоматом, но у них и валеты с кейрингами отключены (тут постоянно эксперты советуют их вырубать), чтобы было можно куки браузера украсть
• если пакет не ставится, потому как подпись неверная, то лучше не ставить его, а зайти на главную арча и почитать новости, может добавили новый ключ (тогда нужно arch keyring переустановить, а пото поставить пакет)… а может тебя хотят похекать

Контрольные суммы ISO образа сверяю всегда, проверку подписи точно никогда не проигнорирую, если предупреждение об этом будет (это самое важное, хорошо что оно есть), AUR у меня вообще не подключен, меньше софта - лучше, да и в стоковых репах арча есть все необходимое, ключи SSH под паролями.

В любом случае, спасибо большое за развернутый ответ, я перевел свое зеркало на repository.su.

Да, это все еще РФ, но до него хотя-бы скорость +- адекватная, посмотрю потом, что есть из Tier 1 недалеко от нас, может перееду на другой источник.

- Для скачивания пакетов ALHP — надо использовать КВН.
- ArchLinux ARM — КВН, иначе скорость около нуля, без всякого ddos.
- CachyOS — ещё не проверял, но конец немного предсказуем.

Зеркала арча без x86_64-v2|3|4... — что-то такое из прошлой эпохи.

reflector запусти, он сам подберет самое быстрое. там не ру сервера быстрые, вообще трафик идет по странным маршрутам, в европейской части самые быстрые нидерланды и германия

но ты с урала, отсюда и проблемы. а может и провайдер мудит местечковый

Ты забавный. Фактически подтвержденный митм с подменой сертификата был в Германии (случай jabber.ru), но бояться ты продолжаешь яндекса и альтлинукса. Логика вышла погулять

там строго говоря не пакеты, а просто pkgbuild’ы…одному богу известно, что тебе поставят в итоге

pkgbuild’ы можно почитать, тогда и тебе станет известно

там был сертификат от летсэнкрипт. хетцнер трафик перехватывал и даже новый сертификат выпустил. там твой сервак не напрямую в интернет торчит а за «экраном», когда у тебя на серваке могут быть все порты открыты, но если в веб-консоли они не открыты, то подключиться нельзя, те они это очень просто сделать могли… короче не тот случай. там схема наипримитивнейшая без каких-то уязвимостей и прочего. вообще зачем ты это приплел?

да можно. но у меня из aur стоял лишь vscode. но я его заменил на zed. теперь у меня 0 пакетов из aur

а репы Chaotic-AUR не используешь, не советуешь?

использую и archlinuxcn

Кое-что пропустил. Думаю, если смотреть и другие страны на основе твоих доменов, то будет больше вариантов.

##
## Arch Linux repository mirrorlist
## Filtered by mirror score from mirror status page
## Generated on 2025-08-28
##

...
## Russia
#Server = http://archlinux.gay/archlinux/$repo/os/$arch
## Russia
#Server = https://mirror.truenetwork.ru/archlinux/$repo/os/$arch
## Russia
#Server = http://ru.mirrors.cicku.me/archlinux/$repo/os/$arch
...

Они это не могли, они это сделали практически. Ты же знаешь разницу между теоретически могли и практически воспользовались возможностью? К чему это я? К тому чтобы ты ещё раз обратил внимание на свою модель угроз. Соотносится ли она с действительностью?

archlinux.gay

Тоже ненадежно, одно время пользовался, но в какой-то день не смог с этого зеркала обновиться.

чувствительные данные

Ути-пути, какие мы чувствительные.

не использовать российские зеркала

использую … archlinuxcn

ты болеешь?

Они ведь из-за средств проверки подписи в pacman не могут пакеты подменять на что-то невалидное?

Если разработчики пакмана не облажались, то, конечно, не могут. Самое плохое, что они могут - перестать обновлять своё зеркало и оставить твою систему в необновлённом состоянии.

PS использую https://mirror.ps.kz/archlinux/ хорошее зеркало

Если смотреть со стороны, яндекс единственный имеет статус Untiered и единственный, кто в зеркало ArchLinux докидывает свои директории, которых нет в оригинальных источниках, что уже вызывает вопрос, как минимум «зачем»?.

Мой вопрос в целом решен, я использую свое зеркало, просто теперь синхронизирую его с Германией, по скорости терпимо, 4 раза в сутки синкается.

тот конфиг написан три года назад, если не больше. там нужно просто вписать в --country страны западной европы кроме великобритании и франции

почитала тред и не поняла две вещи: зачем дидосить репы опенсорцного дистра? и неужели там так дофига данных, что их сложно синхронизировать?

и почему бы их не синхронизировать в какое-то определённое время, например. многие зеркала просто делают это в определённые часы, по расписанию, которое они публикуют. и просто не надо качать данные в эти периоды.

Они досили всю инфру, зачем - не знаю, но их сайт лежал несколько дней, а попытки поставить что-то/обновиться стабильно отваливались, либо цедили по киллобайту в секунду.

Отвалы не были связаны с окнами синхронизации, до зеркал просто было не достучаться.

Мое зеркало в итоге синхронизируется по крону с Германией каждые 4 часа.