Hat Manjaro ein großes Problem?

Kann das jemand zusammenfassen?

Gibt es die Informationen auch in deutsch?

Also ich kann das so Grob zusammenfassen:

Er geht auf diverse schlechte Sicherheitsgeschichten von Manjaro ein.

Als erster Punkt nicht die Distribution, sondern die Webseite. Das SSL/TLS Zertigikat der Webseite ist bei Manjaro schon 4 mal abgelaufen ohne das es erneuert wurde.

Das wusste ich bisher gar nicht bin aber ziemlich erstaunt darüber. Da die Manjaro Webseite Zertifikate von Let's Encrypt nutzt - die haben nur eine Laufzeit 90 Tagen, werden aber serverseitig mit dem certbot automatisch erneuert. Die Konfiguration von dem Ding dauert keine 2 Minuten und besteht aus der Installation Certbot und einem Befehl.

Keine Ahnung warum die Manjaro Webseiten Betreiber das offenbar manuell machen und immer wieder vergessen.

Die offiziellen Manjaro Tipps auf Reddit bei einem ausgelaufenen Zertifikat sind jenseitig. Da wurde einmal (vom Chefentwickler Phillipp selbst) empfohen einfach das Datum auf seinem Computer zurückzusetzen, dann wird das Zertigikat auf der Webseite wieder als gültig angezeigt.

Ausserdem fällt wiederholt auf, dass Manjaro nicht mit den Upstream Entwickler kommuniziert. Z.b. hat sich Manjaro bei Asahi Linux bedient (was ja GPL und so völlig okay ist) und gross angekündigt Manjaro für ARM läuft nun auf Macbooks.

Offenbar hat das Manjaro selber aber nie richtig getestet, bzw mit den Asahi Entwickler kommuniziert.

Asahi Linux warnte öffentlich davon, dass zu nutzen, da Manjaro einen unstabilen nicht fertigen Asahi Kernel Build nutzte, der nie für Enduser gedacht war.

Im besten Fall hat der nicht gebootet, im schlimmsten Falls deine Hardware zerstört. Das wäre mit einer einfachen Frage an Asahi Linux "Hej welcher Build kann man sicher verwenden?" kein Problem gewesen.

Asahi lobt hier Fedora und Canonical die mit dem Projekt zusammenarbeiten um ihre eigenen Distributionen Macbook Ready zu machen.

Ein ähnliches Phänomen hat man offenbar auch immer wieder in den Manjaro Repositorys wo Maintainer Software oder Patches reinknallen die offenbar nie getestet wurde.

Offenbar ist das unter anderem bei "Bottles" passiert. Das Manjaro da einfach Patches eingebaut hat ohne Rücksprache mit den Entwicklern zu halten.

Was dazu führte das Bottles nicht richtig funktionierte. Und der Issue Tracker von Bottles voll mit wütenden Usern waren - obwohl die Bottles Entwickler nichts dafür können.

Das ist übrigens nichts was Manjaro Exklusiv ist. Distributionen die einfach fremde Software patchen waren schon immer ein Problem. Debian macht das, Ubuntu auch, etc. Das ist mitunter ein Grund warum viele Software Entwickler inzwischen klar empfehlen ihre Software als Flatpak oder Snap zu installieren.

Dann bekommt man ungepatchte Versionen, die so funktionieren wie von den Entwicklern vorgesehen.

Dann geht es noch um das AUR. Da Manjaro das AUR quasi per Default mitliefert gibt es hier viele Probleme. Einerseits ist das AUR für Arch und nicht für Manjaro. Und das AUR erwartet halt immer Paket- und Bibliotheksversionen die bei Arch aktuell sind - aber bei Manjaro teilweise erst mehrere Wochen später kommen - und so gewisse AUR Scripte nicht funktionieren und die Nutzer dann schlechte Bewertungen hinterlassen - obwohl das gar nicht das Problem vom Script ist sondern, dass der Nutzer die falsche Distribution nutzt.

Das zweite AUR Problem. Der GUI AUR-Manager in Manjaro hat offenbar DDoS Attacken auf das AUR ausgeführt. Pro Manjaro User der das nutzte, gab es 1'000 von Anfragen an das AUR. Was dazu führte, dass das AUR für alle nicht mehr verfügbar war.

Sowas kann passieren, das Problem ist es passierte nun schon das zweite mal. Das erste mal wurde das Problem behoben. Und plötzlich war es durch ein Update wieder da.

Persönliche Anmerkung: Das sowas passiert, kann schnell passieren und ist auch nicht das Problem. Fehler passieren und sind normal. Zweimal darf es aber nicht passieren.

Dieser Vorfall mit AUR-DDoS und auch am Anfang erwähnte SSL-Zertifikat zeigt leider, das es keine gute Fehlerkultur in Manjaro gibt. Wenn so ein Fehler passiert muss analysiert werden wie es dazu gekommen ist. Und dann müssen die Entwicklung-Prozesse so angepasst oder überarbeitet werden das so was nicht mehr wieder passiert.

Offenbar gibt es solche Prozesse bei Manjaro nicht, oder wenn es Sie gibt sind sie furchtbar schlecht.

Offenbar hat der Projektleiter mal um die 2'000 Dollar an Manjaro Spenden Gelder "veruntreut" um sich einen neuen Laptop zu kaufen. Obwohl das gegen das Spendenreglement von Manjaro verstösst.

Das ist so im grossen und ganzen die Zusammenfassung vom Video. Ich selber kann wenig dazu sagen da ich Manjaro und auch ArchLinux nie wirklich interessant für mich waren.

RollingRelease ist für meine Bedürfnisse ein klares No-Go.

Manjaro has a Big Problem

Posted in r/ManjaroLinux by u/flemtone • 13 points and 13 comments

www.reddit.com

gerade als antwort von nem manjaro team mitglied bekommen

gibt noch einen 2ten link ist aber für den member-hub im manjaro forum funktioniert nicht bei jeden nur die die zugriff darauf haben

Bei mir funktioniert Manjaro in Zusammenhang mit KDE wirklich sehr gut, ich kann im Augenblick nichts sagen. Macken gibt es überall. Derzeit nervt eine Sache bisschen, LibreOffice Dokumente werden immer minimiert geöffnet, das kam mit irgendeinem Update. Ansonsten alles gut.

Ich habe das Video noch nicht gesehen, kenne aber die "üblichen" Manjaro Probleme. Gebe mir das Video gleich mal. Da kim88 schon gut zusammengefasst hat, erwarte ich halt die üblichen Dinge.

Was den Laptop betrifft, war das doch glaube so, dass das ein Entwickler war, der sich das Teil damals für seine Arbeit geholt hat - oder nicht? Fand ich jetzt nicht so schlimm. Was mich damals mehr gestört hat war der Umstand, dass Manjaro da irgendwelche Fehlermeldungen unterdrückt hat. Also bei Installationen oder Updates gab es wohl gelegentlich mal Probleme oder zumindest Fehlermeldungen bezüglich Abhängigkeiten oder so und Manjaro hat die im Prinzip einfach unterdrückt. Ergebnis war halt, dass Leute sagen "ich hatte noch nie Probleme mit Manjaro". Naja.. Kunststück, wenn die entsprechenden Meldungen einfach blockiert werden.

Muss da nochmal suchen. Erinnere mich nicht mehr ganz genau.

Das Manjaro-Gebashe ist ja nichts Neues, doch die Manjaro GmbH legt ja auch fleißig weiter Holz ins Feuer:

Vier mal das SSL-Zertifikat nicht erneuert? Das ist peinlich. Die schlechte Kommunikation, das Ausrollen ungetesteter Pakete. DDoS vom AUR durch das Manjaro-Tool. Das wirft kein gutes Licht auf den Verein. Dennoch. Wie Nick aus dem schönen Brest seinem Video sagte: Nichts, was man fürchten muss.

Das AUR sollte man bei Manjaro besser meiden oder lieber gleich Arch oder Arco-Linux nehmen, wenn man's braucht und bei Flatpak nicht fündig wird.