Быстрые ссылки
Хотите попробовать Arch Linux, но пугают недавние истории с вредоносным ПО? Или уже пользуетесь Arch и хотите знать, как надёжно защитить систему? Работаю с этим дистрибутивом уже пять лет и готов поделиться полным руководством по безопасному использованию Arch Linux.
Что делает Arch Linux уязвимым
Июль 2025-го стал чёрным месяцем для Arch Linux — дистрибутив пережил два серьёзных инцидента с вредоносным ПО через заражённые пакеты в пользовательском репозитории Arch (AUR). 16 июля три пакета AUR — librewolf-fix-bin, firefox-patch-bin и zen-browser-patched-bin — оказались заражены троянцем удалённого доступа CHAOS RAT. Второй удар пришёлся на 31 июля, когда в AUR появился поддельный пакет google-chrome-stable. Скрипт сборки содержал однострочный Python-код, который скачивал и запускал вредоносную программу с непроверенного сервера.
К счастью, бдительные пользователи AUR быстро заметили подвох, и опасные пакеты удалили из репозитория в течение 48 часов. Но это не первые случаи — подобные атаки через AUR случались и раньше.
Означает ли это, что AUR и Arch Linux опасны? Ответ намного сложнее простого "да" или "нет"!
Откуда берётся вредоносное ПО в AUR
Пользовательский репозиторий Arch — это огромная библиотека программ для Arch Linux, которую ведёт само сообщество. В отличие от официальных репозиториев, где каждый пакет тщательно проверяют разработчики Arch, AUR работает по принципу открытых дверей — любой может добавить пакет, любой может его установить. Более того, если первоначальный мейнтейнер забрасывает пакет, другой человек может перехватить управление и начать выпускать свои обновления.
Благодаря такой свободе AUR стал домом для десятков тысяч самых свежих приложений и редких утилит. Именно за это его любят пользователи. Но такая модель создаёт и серьёзные риски.
Без формальной проверки кода новые пакеты AUR могут появляться мгновенно, что даёт злоумышленникам возможность быстро распространять вредоносы. Правда, заражение происходит только если вы сами решите установить такой пакет. Однако кто-то может стать новым мейнтейнером заброшенного пакета и подложить в него вредонос, который попадёт к вам при следующем обновлении.
Парадоксально, но та же открытость и скорость, которые делают AUR таким мощным инструментом, одновременно делают его уязвимым. Тем не менее AUR можно использовать безопасно, если подходить к делу с умом. Сообщество AUR ожидает, что пользователи будут читать файлы PKGBUILD и изучать историю пакетов с комментариями перед установкой. Если пренебречь этими мерами предосторожности, риск заражения системы действительно высок!
Как я защищаюсь от вредоносов в AUR, не будучи программистом
Я не программист и не умею читать код! Тем не менее пользуюсь системами на базе Arch уже около пяти лет. Начинал с Manjaro, а сейчас перешёл на Garuda Linux, которым пользуюсь каждый день. Оказалось, что большинство нужных приложений доступны прямо в официальных репозиториях или через Flatpak. AUR использую только для тестирования каких-то нишевых или экзотических программ.
Поэтому большинство людей, особенно новички, могут вообще не трогать AUR и не беспокоиться о связанных с ним проблемах. Но если всё же нужно установить что-то из AUR, вот мои личные правила безопасности.
Регулярно делайте бэкапы системы
Прежде всего, независимо от того, пользуетесь ли вы чем-то ненадёжным вроде Windows или стабильным как Debian, всегда делайте резервные копии системы — и Arch не исключение! Лучший инструмент для бэкапа системы — rsync.
Обязательно храните резервные копии на отдельном устройстве, которое не всегда подключено к основной системе. Иначе при заражении системы под угрозой окажутся и файлы бэкапов.
Crucial X10 Portable SSD
Нужно место для резервных копий? Портативный SSD Crucial X10 обеспечивает скорость чтения до 2100 МБ/с через интерфейс USB-C 3.2 Gen 2x2. Выдерживает падение с высоты 3 метров и имеет защиту IP65 от воды и пыли. Доступен в объёмах от 1 ТБ до 8 ТБ.
Будьте в курсе событий: подписывайтесь на уведомления безопасности
У меня настроены оповещения Google по ключевым словам Arch и AUR. Так я получаю ежедневную сводку всех свежих новостей по этим темам. Плюс подписан на сабреддиты r/archlinux и r/linux. Эти каналы часто первыми сообщают об уязвимостях, удалённых пакетах или новых вредоносных кампаниях — иногда даже раньше крупных IT-изданий.
Используйте Octopi для установки AUR-пакетов
Хотя большинство пользователей Arch предпочитают терминал, я обычно использую Octopi — графический менеджер пакетов для установки программ на своём ПК с Garuda. Как только ввожу название нужного пакета, программа показывает все подходящие варианты с информацией о том, из какого репозитория каждый пакет. Есть информационная вкладка с полезными метаданными: кто мейнтейнер пакета и какой официальный URL проекта.
Это избавляет от необходимости заходить на сайт AUR — можно быстро проверить, заслуживает ли пакет доверия. Обычно доверяю мейнтейнерам с email на домене дистрибутива или archlinux.org. Если видим что-то общее типа "XYZ" без email или xyz@gmail.com, стоит заглянуть на страницу пакета в AUR и немного покопаться, прежде чем нажимать "установить"!
Проверяйте мейнтейнера, комментарии и историю изменений
Изучая пакет в AUR, в первую очередь смотрю на мейнтейнера. Обычно можно кликнуть по имени и посмотреть все пакеты, которые ведёт этот человек. У него может быть ссылка на исходный проект, ведущая на GitHub, откуда можно узнать о человеке больше.
Предпочитаю пакеты, которые ведут люди с долгой историей в сообществе Arch или Linux в целом. Если мейнтейнер новичок, давно не обновлял пакет или внезапно перехватил заброшенный пакет — для меня это тревожный звоночек.
Далее читаю комментарии. Если их нет или полно жалоб — обычно обхожу пакет стороной. Спокойнее, когда идёт живое обсуждение и мейнтейнер отвечает комментаторам.
Наконец, изучаю историю изменений — когда пакет впервые попал в AUR и кто его вёл. Больше доверия к пакетам, где текущий мейнтейнер работает с ним минимум месяц, а лучше — полгода!
Проверяйте PKGBUILD с помощью ИИ
Главное преимущество AUR — открытость скрипта сборки каждого пакета (файла PKGBUILD) для проверки. Это позволяет относительно легко найти что-то подозрительное, но только если умеешь читать код. Поскольку я не программист, стал использовать большие языковые модели (LLM).
Когда у меня возникают малейшие подозрения насчёт пакета, копирую весь PKGBUILD со страницы AUR и вставляю в Google AI Studio. Это бесплатно и даёт доступ к Gemini 2.5 Pro — довольно способной модели для понимания кода. Прошу проверить PKGBUILD и сказать, есть ли повод для беспокойства.
ИИ не безошибочны и могут "галлюцинировать" или выдумывать ложные данные. Поэтому нельзя слепо доверять их словам. Использую их только как дополнительную проверку безопасности, а если они что-то отмечают, обращаюсь к настоящему эксперту.
Регулярно удаляйте осиротевшие пакеты
Пакеты считаются "осиротевшими", если раньше они были нужны как зависимости для какой-то программы, но сейчас ни одно установленное приложение их не использует. Они не только занимают место на диске, но и увеличивают поверхность атаки — особенно если пришли из AUR.
Поэтому взял за правило регулярно (раз в месяц) проверять все осиротевшие пакеты и удалять те, которые точно не понадобятся. Чтобы увидеть все осиротевшие зависимости, выполните команду:
Если видите пакеты, которые не нужны, удалите их:
Либо используйте эту команду (вводите как есть, со скобками), чтобы удалить сразу все осиротевшие зависимости:
Что делать при заражении системы Arch
Допустим, вы активно пользуетесь AUR и слышите новости о каком-то вредоносе в репозитории. Первым делом проверьте, не установлен ли у вас этот опасный пакет. Откройте терминал и выполните команду:
Или воспользуйтесь этой командой, чтобы увидеть все AUR-пакеты в системе:
Если впервые задумались о безопасности своего Arch, рекомендую выполнить вторую команду и пройтись по всем установленным AUR-пакетам, выяснив, нет ли среди них потенциально опасных. Если есть — просто удалите их и найдите замену. Не стоит играть с безопасностью системы.
Если обнаружили вредоносный пакет в системе, немедленно отключитесь от интернета. Это помешает вредоносу скачать или отправить дополнительные данные. Затем удалите пакет командой:
После этого выключите систему и загрузитесь с Linux Live USB. Оттуда используйте антивирус вроде ClamAV или chkrootkit для поиска и удаления остатков вредоносного ПО.
Лично я не люблю рисковать и обычно полностью переустанавливаю ОС после заражения. Понимаю, что не всем это подходит, особенно при наличии важных файлов на компьютере. Но если есть такая возможность, настоятельно рекомендую.
Также стоит считать, что ваши пароли и SSH-ключи могли быть скомпрометированы. Обязательно смените все пароли и сгенерируйте новые SSH-ключи. Начните с самых важных аккаунтов — основной почты и банковских счетов, потом переходите к остальным.
Вот и всё — быстрый и эффективный набор основ безопасности Arch Linux, которыми лично пользуюсь для защиты от вредоносов. Как видите, несколько хороших привычек и немного дополнительной бдительности позволяют минимизировать риски и наслаждаться всеми преимуществами Arch без потенциальных проблем с безопасностью!
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru