Hat Manjaro ein großes Problem?

  • Also ich kann das so Grob zusammenfassen:

    Er geht auf diverse schlechte Sicherheitsgeschichten von Manjaro ein.

    Als erster Punkt nicht die Distribution, sondern die Webseite. Das SSL/TLS Zertigikat der Webseite ist bei Manjaro schon 4 mal abgelaufen ohne das es erneuert wurde.

    Das wusste ich bisher gar nicht bin aber ziemlich erstaunt darüber. Da die Manjaro Webseite Zertifikate von Let's Encrypt nutzt - die haben nur eine Laufzeit 90 Tagen, werden aber serverseitig mit dem certbot automatisch erneuert. Die Konfiguration von dem Ding dauert keine 2 Minuten und besteht aus der Installation Certbot und einem Befehl.

    Keine Ahnung warum die Manjaro Webseiten Betreiber das offenbar manuell machen und immer wieder vergessen.

    Die offiziellen Manjaro Tipps auf Reddit bei einem ausgelaufenen Zertifikat sind jenseitig. Da wurde einmal (vom Chefentwickler Phillipp selbst) empfohen einfach das Datum auf seinem Computer zurückzusetzen, dann wird das Zertigikat auf der Webseite wieder als gültig angezeigt.

    Ausserdem fällt wiederholt auf, dass Manjaro nicht mit den Upstream Entwickler kommuniziert. Z.b. hat sich Manjaro bei Asahi Linux bedient (was ja GPL und so völlig okay ist) und gross angekündigt Manjaro für ARM läuft nun auf Macbooks.

    Offenbar hat das Manjaro selber aber nie richtig getestet, bzw mit den Asahi Entwickler kommuniziert.

    Asahi Linux warnte öffentlich davon, dass zu nutzen, da Manjaro einen unstabilen nicht fertigen Asahi Kernel Build nutzte, der nie für Enduser gedacht war.

    Im besten Fall hat der nicht gebootet, im schlimmsten Falls deine Hardware zerstört. Das wäre mit einer einfachen Frage an Asahi Linux "Hej welcher Build kann man sicher verwenden?" kein Problem gewesen.

    Asahi lobt hier Fedora und Canonical die mit dem Projekt zusammenarbeiten um ihre eigenen Distributionen Macbook Ready zu machen.

    Ein ähnliches Phänomen hat man offenbar auch immer wieder in den Manjaro Repositorys wo Maintainer Software oder Patches reinknallen die offenbar nie getestet wurde.

    Offenbar ist das unter anderem bei "Bottles" passiert. Das Manjaro da einfach Patches eingebaut hat ohne Rücksprache mit den Entwicklern zu halten.

    Was dazu führte das Bottles nicht richtig funktionierte. Und der Issue Tracker von Bottles voll mit wütenden Usern waren - obwohl die Bottles Entwickler nichts dafür können.

    Das ist übrigens nichts was Manjaro Exklusiv ist. Distributionen die einfach fremde Software patchen waren schon immer ein Problem. Debian macht das, Ubuntu auch, etc. Das ist mitunter ein Grund warum viele Software Entwickler inzwischen klar empfehlen ihre Software als Flatpak oder Snap zu installieren.

    Dann bekommt man ungepatchte Versionen, die so funktionieren wie von den Entwicklern vorgesehen.

    Dann geht es noch um das AUR. Da Manjaro das AUR quasi per Default mitliefert gibt es hier viele Probleme. Einerseits ist das AUR für Arch und nicht für Manjaro. Und das AUR erwartet halt immer Paket- und Bibliotheksversionen die bei Arch aktuell sind - aber bei Manjaro teilweise erst mehrere Wochen später kommen - und so gewisse AUR Scripte nicht funktionieren und die Nutzer dann schlechte Bewertungen hinterlassen - obwohl das gar nicht das Problem vom Script ist sondern, dass der Nutzer die falsche Distribution nutzt.

    Das zweite AUR Problem. Der GUI AUR-Manager in Manjaro hat offenbar DDoS Attacken auf das AUR ausgeführt. Pro Manjaro User der das nutzte, gab es 1'000 von Anfragen an das AUR. Was dazu führte, dass das AUR für alle nicht mehr verfügbar war.

    Sowas kann passieren, das Problem ist es passierte nun schon das zweite mal. Das erste mal wurde das Problem behoben. Und plötzlich war es durch ein Update wieder da.

    Persönliche Anmerkung: Das sowas passiert, kann schnell passieren und ist auch nicht das Problem. Fehler passieren und sind normal. Zweimal darf es aber nicht passieren.

    Dieser Vorfall mit AUR-DDoS und auch am Anfang erwähnte SSL-Zertifikat zeigt leider, das es keine gute Fehlerkultur in Manjaro gibt. Wenn so ein Fehler passiert muss analysiert werden wie es dazu gekommen ist. Und dann müssen die Entwicklung-Prozesse so angepasst oder überarbeitet werden das so was nicht mehr wieder passiert.

    Offenbar gibt es solche Prozesse bei Manjaro nicht, oder wenn es Sie gibt sind sie furchtbar schlecht.

    Offenbar hat der Projektleiter mal um die 2'000 Dollar an Manjaro Spenden Gelder "veruntreut" um sich einen neuen Laptop zu kaufen. Obwohl das gegen das Spendenreglement von Manjaro verstösst.


    Das ist so im grossen und ganzen die Zusammenfassung vom Video. Ich selber kann wenig dazu sagen da ich Manjaro und auch ArchLinux nie wirklich interessant für mich waren.

    RollingRelease ist für meine Bedürfnisse ein klares No-Go.

    --
    Ciao!

    Linux Nutzer seit über 20 Jahren. I ❤️ Freedom!

    Offizieller Proton-Botschafter aus der Schweiz 🇨🇭 😅

    Meine Haupt-Distribution ist Ubuntu.

    Mein Blog: https://rueegger.me

    Wer meinen sinnlosen Gedanken folgen möchte, kann dies gerne auf Mastodon tun: https://swiss.social/@srueegger

  • Manjaro has a Big Problem
    Posted in r/ManjaroLinux by u/flemtone • 13 points and 13 comments
    www.reddit.com

    gerade als antwort von nem manjaro team mitglied bekommen

    gibt noch einen 2ten link ist aber für den member-hub im manjaro forum funktioniert nicht bei jeden nur die die zugriff darauf haben

    PC:      Ryzen 9 7950 X3D, 64GB DDR5 RAM, Sapphire 7900 XTX - Arch Linux Plasma

    Laptop:    Lenovo Legion 5 AMD    - Manjaro KDE

    Server1:   Dedicated von Hetzner   - Debian Linux (für Xmpp+omemo, und Gameserver)

    ServerHome:   2x Xeon E5 2630v4, 64GB DDR4, 2x Raid5, 2x 512GB SSD - Debian Linux (als KVM host, NAS, ...)

    Edited once, last by LucyDemoon (October 29, 2022 at 12:07 AM).

  • Ich selber habe keine gute Erfahrung mit Manjaro, alle, egal welche Harware es war, Netbook; Notebook, Rapsberry Pi und die wurden immer bei Repository-Aktualisierungen nach Neustart oft nicht mehr richtig funktionieren.

    Beim 2. Neuinstallierung kommen gleiche Muster daraus und habe ich leider aufgegeben.

    Bei RPi 400 läuft noch mit Manjaro sway "ohne Aktualisierung" stabil, von daher traue ich zugegebenerweise nicht mehr zu zu Updaten.

    Sollte bald doch noch nach Update-Aktualisierung wieder Probleme kommen, werde ich nicht mehr Manjaro vertrauen.

    Daily-Driver-PC = Fedora 39- Mint 21.3

    Test-PC = Linux Mint 21.3 - Gnome
    Lenovo ThinkPad X250 = LMDE 6 - Windows 11

  • Bei mir funktioniert Manjaro in Zusammenhang mit KDE wirklich sehr gut, ich kann im Augenblick nichts sagen. Macken gibt es überall. Derzeit nervt eine Sache bisschen, LibreOffice Dokumente werden immer minimiert geöffnet, das kam mit irgendeinem Update. Ansonsten alles gut.

    PC: AMD Ryzen 7 5700X | AMD RX6600 | 32GB RAM | Debian 12 Xfce
    Notebook: AMD Ryzen 5 5300U | Vega Graphic | 16GB RAM | Debian 12 Xfce

  • Ich habe das Video noch nicht gesehen, kenne aber die "üblichen" Manjaro Probleme. Gebe mir das Video gleich mal. Da kim88 schon gut zusammengefasst hat, erwarte ich halt die üblichen Dinge.

    Was den Laptop betrifft, war das doch glaube so, dass das ein Entwickler war, der sich das Teil damals für seine Arbeit geholt hat - oder nicht? Fand ich jetzt nicht so schlimm. Was mich damals mehr gestört hat war der Umstand, dass Manjaro da irgendwelche Fehlermeldungen unterdrückt hat. Also bei Installationen oder Updates gab es wohl gelegentlich mal Probleme oder zumindest Fehlermeldungen bezüglich Abhängigkeiten oder so und Manjaro hat die im Prinzip einfach unterdrückt. Ergebnis war halt, dass Leute sagen "ich hatte noch nie Probleme mit Manjaro". Naja.. Kunststück, wenn die entsprechenden Meldungen einfach blockiert werden.

    Muss da nochmal suchen. Erinnere mich nicht mehr ganz genau.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

  • Das Manjaro-Gebashe ist ja nichts Neues, doch die Manjaro GmbH legt ja auch fleißig weiter Holz ins Feuer:

    Vier mal das SSL-Zertifikat nicht erneuert? Das ist peinlich. Die schlechte Kommunikation, das Ausrollen ungetesteter Pakete. DDoS vom AUR durch das Manjaro-Tool. Das wirft kein gutes Licht auf den Verein. Dennoch. Wie Nick aus dem schönen Brest seinem Video sagte: Nichts, was man fürchten muss.

    Das AUR sollte man bei Manjaro besser meiden oder lieber gleich Arch oder Arco-Linux nehmen, wenn man's braucht und bei Flatpak nicht fündig wird.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!