O Arch Linux, uma das distribuições Linux mais influentes e amadas pela comunidade de usuários Linux avançados, está enfrentando um ataque de negação de serviço distribuído (DDoS) prolongado e significativo. Pela primeira vez desde o início dos incidentes, há pelo menos uma semana e meia, o projeto emitiu um comunicado oficial detalhando o impacto e oferecendo workarounds para seus usuários.
Os serviços mais afetados são os core da experiência Arch: o site principal (archlinux.org), o Arch User Repository (AUR), repositório onde a comunidade contribui com milhares de pacotes, e os Fóruns oficiais. Ataques DDoS, que inundam os servidores com tráfego fraudulento, são notoriamente difíceis de mitigar, especialmente para um projeto mantido por voluntários.
Filosofia e desafios
O comunicado do projeto, assinado por Christian Heusel, confirmou que a equipe está trabalhando ativamente com seu provedor de hospedagem para mitigar o ataque. Um ponto importante mencionado, é que estão “avaliando provedores de proteção DDoS”, pesando cuidadosamente fatores como custo, segurança e padrões éticos.
Este último ponto é fundamental e explica a suposta relutância do Arch em aceitar imediatamente a ajuda oferecida pela Cloudflare, como rumores no Reddit sugeriam. O Arch Linux é um projeto que historicamente valoriza a independência, o controle e a privacidade. Integrar-se a uma grande rede de entrega de conteúdo (CDN) como a Cloudflare, embora eficaz, pode conflitar com seus princípios sobre soberania de dados e descentralização.
Entendendo a criticidade desses serviços, a equipe do Arch providenciou alternativas práticas para os usuários poderem continuar trabalhando:
- Para o site principal (archlinux.org): Durante a indisponibilidade, usuários devem utilizar a lista de mirrors definida no pacote pacman-mirrorlist para atualizações do sistema. As imagens de instalação ISO também estão disponíveis em diversos mirrors, como os geomirrors administrados pela própria equipe de DevOps, com a ressalva de sempre verificar a integridade e a assinatura GPG (chave 0x54449A5C).
- Para o AUR (aur.archlinux.org): Foi disponibilizado um espelho dos pacotes no GitHub. Para instalar um pacote diretamente, usuários podem usar:
git clone --branch--single-branch https://github.com/archlinux/aur.git
Nem o primeiro e (provavelmente) nem o último
Este não é o primeiro problema sério recente que o AUR enfrenta. Em meados de julho, a equipe removeu três pacotes maliciosos disfarçados de navegadores baseados em Firefox (LibreWolf, Zen e o próprio Firefox), infectados com um Trojan de Acesso Remoto (RAT). Poucos dias depois, outro pacote comprometido foi removido, desta vez, mimetizando o google-chrome-stable.
Embora o ataque DDoS atual não implique, na superfície, uma ameaça de segurança direta como o malware, ele sobrecarrega uma infraestrutura já tensionada e uma equipe de voluntários, criando frustração para desenvolvedores e usuários que dependem do repositório.
O Arch Linux pediu paciência à comunidade e se comprometeu a fornecer atualizações regulares em sua página de status de serviço.Ajude-nos a nos manter independentes: seja membro Diolinux Play e ganhe acesso a cursos, vídeos e outros beneficios exclusivos!
