openSUSE ohne Packman Repository benutzen - Flatpak sei Dank!

Das Packman Community Repository ist eine tolle Sache, denn es ermöglicht die Wiedergabe von Medien, die einen nicht freien Codec voraussetzen. Ohne diese Codecs hört es schon bei Youtube oft auf, und deswegen ist das erste nach der frischen Installation von openSUSE das hier.

Es gibt aber gute Gründe, warum man das unter Umständen nicht will:

• Es ist ein inoffizielles Repository, was nicht mit den gleichen Sicherheitsstandards gewartet wird wie die openSUSE Hauptrepositories.
• Mit den gängigen Guides hat man sich ein Repository mit höherer Priorität eingebunden, die Pakete aus dem Hauptrepository als root überschreiben bei normalen Updatevorgängen. Im hypothetischen Fall einer Kompromittierung dieses Repositorys heißt das Vollzugriff für den Angreifer auf deine Maschine.
• Die Pakete aus Packman unterliegen nicht den automatisierten Test des tollen openQA und destabilisieren jede Installation in unbekannten Maße und erhöhen den Wartungsaufwand.
• Packman ist immer langsamer mit Veröffentlichungen als Leap/Tumbleweed und kann so Inkompatibilitäten verursachen.
• Distribution Upgrades (zypper dup) können fehlschlagen oder das System destabilisieren oder Upgrades hinauszögern.
• Vor allem Tumbleweed hat regelmäßig mit Packman zu kämpfen, da es quasi täglich Distributions Upgrades hat.

Lösung:

Firefox als Flatpak und VLC als Flatpak

Die Flatpaks beider Applikationen haben die Codecs bereits "verbaut" und können besagte problematischen Medienformate wiedergeben. Nachteil: Auch hier muss man rumfrickeln, weil Flatpak durch die Sandbox viele Features deaktiviert. Damit man nicht in die Dokumentation rein schauen muss, empfehle ich das graphische Tool Flatseal, mit dem man graphisch an den Flatpak Berechtigungen schrauben kann.

Im Falle von VLC muss man meiner Erfahrung nichts anpassen, aber sehr wohl bei Firefox. Firefox hat auf vielen Websiten Probleme mit der Darstellung von Schriftarten und hat keine Hardwarebeschleunigung. Das müssen wir korrigieren. Dazu muss einmal Firefox einmal ausgeführt werden, damit die Konfigurationsordner erstellt werden.

Für die Fonts muss diese Datei unter diesem Pfad erstellt werden:

~/.var/app/org.mozilla.firefox/config/fontconfig/fonts.conf

<?xml version='1.0'?>
<!DOCTYPE fontconfig SYSTEM 'fonts.dtd'>
<fontconfig>
    <!-- Disable bitmap fonts. -->
    <selectfont><rejectfont><pattern>
        <patelt name="scalable"><bool>false</bool></patelt>
    </pattern></rejectfont></selectfont>
</fontconfig>

Für die Hardwarebeschleunigung in Flatseal die GPU-Beschleunigung aktivieren.

Außerdem muss man noch die ffmpeg runtime als Flatpak installieren:

flatpak install org.freedesktop.Platform.ffmpeg-full

Dort bekommt man eine Versionsrückfrage, die aktuell mit Version 21.08 beantwortet wird. Diese Version nutzt aktuell Firefox, und das wird sich in Zukunft sicher ändern, also muss man da ein Auge drauf haben, wenn Videos anfangen, zu ruckeln. Leider wird diese Runtime nicht automatisch mit installiert.

Ich habe noch weitere Guides gefunden, die in der about:config Einträge ändern, aber die waren in meinem Fall nicht notwendig. Wenn ihr Probleme und Lösungen habt, postet sie gerne hier.

Einschränkungen:

Leap 15.3 hat aktuell eine ältere Flatpak Version, unter der Firefox trotz der o.g. Fixes nicht so gut performed wie unter Tumbleweed. Unter Tumbleweed habe ich keine Probleme, aber unter Leap ruckeln Videos sehr stark im Fullscreen und unter Wayland. Das ist aber etwas, was todsicher in 15.4 behoben wird, da man ja sehen, kann, dass in der "Entwicklungsversion" von openSUSE alles besser läuft.

Außerdem klappt der Umstieg nur als Homeuser, der nur konsumiert. Bearbeitet ihr Medienformate auch via CLI kommt ihr um Packman möglicherweise nicht herum.

Update: Fokus auf Sicherheit

Ich habe in den letzten Tagen mehrere Beiträge von dem ehemaligen Chairman Richard Brown auf Reddit gelesen und möchte ein paar knackige Zitate bringen, die gegen die Verwendung des Packman Repositories sprechen. Soweit möglich, verlinke ich den Originalbeitrag.

1&2 Entstanden in der Diskussion, wie man vertrauenswürdige Repositories erkennen kann. Bei 3 geht es spezifisch um Packman.

if it’s in the official repos, it’s trustworthy. 1

If it’s not good enough for Tumbleweed, do you really want to trust it? 2

Packman is not vetted, nor safe.

The packman team have repeatedly ignored requests from folk like me to address very real world issues.

Packman repeatedly overrides tumbleweed packages, which is very hostile behaviour and results in broken user systems on a regular basis. 3

Meine eigene Meinung dazu:

Nach den Qualitätsstandards des openSUSE Projects sind nur Pakete vertrauenswürdig, die in den offiziellen Repositories sind. Packman ist nicht Teil der offiziellen Repositories und entspricht nicht den Qualtitätsstandards, bzw. stand in Vergangenheit schon in Konflikt, bzw. haben nicht auf Verbesserungsvorschläge von openSUSE reagiert.

Das bedeutet für den Enduser, dass man nicht blind Packman einbinden sollte, sondern nur, wenn es notwendig ist, und auch dann nur so wenige Pakete wie möglich benutzt, und auch dann auf keinen Fall mit höherer Priorität als das Haupt-Repository. Das ist ein Sicherheits- und Stabilitätsrisiko. Nach meiner Meinung kann man Packman damit nicht guten Gewissens auf Arbeitsplatzinstallationen in Unternehmen einsetzen, und wenn ich da kein gutes Gefühl dabei habe, unterlasse ich die Packman Einbindung auch auf privaten Geräten.

Generell Browsersicherheit & und die Langsamkeit der Firefox-Updates auf Leap&TW:

Im Fall von Firefox auf Tumbleweed ist die Flatpak-Lösung nochmal attraktiver, da die Sicherheitsupdates mitunter Tage schneller durchgereicht werden, da die neue Version von Firefox in Tumbleweed immer gebunden ist an das erfolgreiche Bestehen des gesamten Snapshots im openQA. In Leap kann man das Argument machen, dass die ESR Version aus den Repositories inhärent unsicher ist, als die reguläre Flatpak Version, da viele Sicherheitsfeatures und Bug/Security Fixes nie in den ESR Versionen landen.

Konkret? Wackelpudding!

Diese Überlegung ist akademisch, weil die Gefahr so unkonkret ist. Fehlende Sicherheit bemerkt man erst, wenn sie weg ist. Wenigstens die Stabilitätsgefährdung habe ich schon mal erlebt. Beim Upgrade von Leap 15.2 auf 15.3 hatte ich Fehler, dich ich mit btrfs Rollbacks und Handarbeit beheben musste.

Auch wenn es den ganzen Beitrag ad absurdum führt: Die meisten User sind mit der üblichen Empfehlung, Packman einzubinden, trotzdem gut beraten. openSUSE + Packman ist meiner Meinung nach immer noch sicherer als bspw. ein Ubuntu mit massiv großen völlig ungepflegten Repositories oder einem Linux Mint dessen zusätzlicher eigener Code außerhalb jeglicher ernstzunehmender professioneller Qualitätskontrolle befinden. Aber auch die sind bei guter Pflege durch regelmäßige Updates sicherer als Windows, was im Monatstakt Apokalyptische Sicherheitsmeldungen (nur das jüngste Beispiel) produziert.

In dem Sinne: Frohe Weihnachten und einen guten Rutsch

Zitat von matbhm

Scytale: Ich nutze Packman seit annodutt und bin dem Projekt nachhaltig dankbar, weil es die tägliche Nutzung von SuSE und später OpenSUSE überhaupt erst möglich gemacht hat. Ich habe auch noch nie etwas über Sicherheitsprobleme mit von der Packman-Seite heruntergeladenen Paketen mitbekommen - und halte daher die Diskussion für reichlich akademisch. Früher wurde die Einbindung des Packman-Repositories auch hier im Forum regelmäßig empfohlen. Erstmals mit OpenSUSE Leap 15.3 soll sich das ja erledigt haben.

Und wenn ich Richard Brown richtig verstanden habe, erteilt er auch Flatpak eine Absage!

Mir sind auch noch keine Sicherheitsprobleme untergekommen, soweit, so Schrödingers Sicherheitslücke.

Es ist schon ein bisschen Paranoid, aber es wäre -theoretisch- wesentlich einfacher das am häufigsten genutzte 3rd Party Repository zur Verbreitung von Schadcode zu übernehmen als ein openSUSE Repository, wo ne Menge mehr Leute von openSUSE/SUSE drauf schauen und im OBS tot testen.

Ich halte den beschriebenen Ansatz für eine Spielerei, eine openSUSE Installation noch weiter auf Stabilität und Sicherheit zu optimieren.

Übrigens habe ich von Richard Brown gelesen, dass er aktuell einen MicroOS Desktop benutzt und im Userspace ausschließlich mit Flatpak Applikationen fährt. Was das bedeutet? Keine Ahnung, aber flatpak scheinen benutzbar zu sein.

Zitat von Scytale

Leap 15.3 hat aktuell eine ältere Flatpak Version, unter der Firefox trotz der o.g. Fixes nicht so gut performed wie unter Tumbleweed. Unter Tumbleweed habe ich keine Probleme, aber unter Leap ruckeln Videos sehr stark im Fullscreen und unter Wayland. Das ist aber etwas, was todsicher in 15.4 behoben wird, da man ja sehen, kann, dass in der "Entwicklungsversion" von openSUSE alles besser läuft.

Kleines Update zu der o.g. Aussage:

Durch Updates haben bei mir die Ruckler bei Fullscreen Wiedergabe unter GNOME Wayland gänzlich aufgehört. Auf meinem Leap System kann ich keine mit dem Auge sichtbaren Performanz Unterschiede ausmachen. Auf meinem (deutlich schwächeren) Test Notebook mit 15.4 Beta ebenfalls keine Performanz Probleme.