Тебе оно надо? Сырцы открыты. Исправь и пошли разрабам патчи.

Я думаю, что это никому не помешает.

Хех, а некоторые (не буду показывать пальцем) даже Manifest не подписывают.

Хех, а некоторые (не буду показывать пальцем) даже Manifest не подписывают.

Значит оно не нужно.

в layman репозитории, в репозиториях всё подписано. Поэтому нахаляву подменить не удастся. Некий уровень чистки репозиториев по Q.A. и подписи не помешал бы, но в общем-то и не важен.

Просто хотел их добавить в друзья свой keyring, потому что считал их супер-клевыми, для этого же и нужны подписи... даже в ссаной Ubuntu так можно.

Все правильно написано в man, никто не помешает владельцу оверлея написать вредоностный крипт. Собственно как и с PPA, OBS репозиториями.

Спасибо за разъяснение, но можно немного подробнее? Например, репозиторий грузится с быдлохостинга github. Какой уровень безопасности обеспечивает QA в этом случае?

Если даже список репозиториев загружается без проверки сертификатов с http://www.gentoo.org/proj/en/overlays/repositories.xml

Это понятно, но с apt-key, добавляя ключ мы защищены хотя бы от MiTM-атаки, т.к. при установке проверяются подписи хеш-сумм. A layman не проверяет ни сертификаты SSL-репозиториев (могу ошибаться), ни подписи Manifest-ов, если таковые имеются.

в случае подмены данных в репозитории будет ошибка, если кто-то завладеет аккаунтом и ключем пользователя это не спасёт от новых закладок. Впрочем защита ровно такая же, что и у GPG.

A layman не проверяет ни сертификаты SSL-репозиториев (могу ошибаться), ни подписи Manifest-ов, если таковые имеются.

А layman и не должен их проверять. layman всего лишь The layman application is Gentoo's primary overlay management tool, offering centralized repository management for the end user. И все. А вся остальная безопасность, забота о проверках подписей и все прочее на совести portage.

Причем и portage не всесилен и если майнтрейнер оверлея не позаботился о подписях и прочем… Либо решил что оно ему попросту не нужно то и portage ничего с этим не сможет поделать.

Какой уровень безопасности обеспечивает QA в этом случае?

А так тебе важнее что безопасность или некий софт из оверлеев?

Если первое так никто не запрещает тебе держать единственный свой собственный локальный оверлей куда и сливать, предварительно проверив и убедившись что все ок, все недостающее.

Иначе же define «безопасность» в случае, как правило, ~arch и нескольких (десятков ага) оверлеев.

Если подменят и хеш и путь до сырцов, никакой ошибки не будет.

А Manifest в ПО оверлеев вообще можно не подписывать оказывается. Но это не важно, т.к. portage все равно не проверяет подписи.

Если подменят и хеш и путь до сырцов, никакой ошибки не будет.

ты теоретик?

А Manifest в ПО оверлеев вообще можно не подписывать оказывается.

можно, более того в дереве подписывать всё начали не так давно.

Но это не важно, т.к. portage все равно не проверяет подписи.

Да неужели? http://www.gentoo.org/news/20041021-portage51.xml

А вся остальная безопасность, забота о проверках подписей и все прочее на совести portage

Угу. Я уже понял, что лучше будет сделать FR в portage.

А так тебе важнее что безопасность или некий софт из оверлеев?

Безопасность.

Если первое так никто не запрещает тебе держать единственный свой собственный локальный оверлей куда и сливать, предварительно проверив и убедившись что все ок, все недостающее.

Спасибо за совет, пока не запилят фичу с добавлением друзей ключей, так и буду делать.

ты теоретик?

Любой админ шлюза провайдера это сделает за 5 минут. А между мной и сырцами и репозиториями этих шлюзов +100500

Угу. Я уже понял, что лучше будет сделать FR в portage.

лучше всего подтянуть матчасть.

Безопасность.

попробуй подумать, чем отличается синхронизация дерева от синхронизации оверлеев и найти основные отличия, обсняющие почему GPG для дерева необходима, а для оверлеев - незначительный плюс.

Любой админ шлюза провайдера это сделает за 5 минут. А между мной и сырцами и репозиториями этих шлюзов +100500

советую попробовать самому, или хотя бы спросить знакомого админа провайдера.

Да неужели? http://www.gentoo.org/news/20041021-portage51.xml

Да, тут я обосрался. Не знал, про эту фичу. А можно подробнее, как оно работает, я добавляю список доверенных ключей, или он откуда-то загружается?

Просто. Например, я уже поднимал тему. Ключ virtualenv никем не подписан, значит я его должен или добавить как в случае apt-key, или должен предоставляться список доверенных ключей от gentoo.

оверлеи - это сторонние репозитории, и используешь ты их на свой страх и риск

Да, что там спрашивать. Точно знаю, что прям за мной шлюз со сквидом. Он не умеет подмену http-трафика и поддельные сертификаты с подменой трафика. Не думаю, что это рокет сайенс, хотя сам в этом не разбираюсь.

быстрофикс

Он не умеет подмену http-трафика и поддельные сертификаты с подменой трафика.

Он не умеет подмену http-трафика и поддельные сертификаты с подменой трафика?

Да, тут я обосрался. Не знал, про эту фичу. А можно подробнее, как оно работает, я добавляю список доверенных ключей, или он откуда-то загружается?

Сразу скажу, что данным функционалом я не пользовался, т.к. дерево могу сравнить с cvs, а rsync оверлеями не пользуюсь.

Насколько я знаю: а). в генте есть свой keyserver (ни разу не пользовался, и явно туда свой ключ загружал), плюс информация о ключах в разделе developers (через какое-то время и api будет приклеено), б). открытые ключи меинтейнеров загружены на ключесервера, т.е. когда ты портаж сам туда может обратиться и проверить подпись. Возможно есть ещё какие-то проверки, я честно не знаю.

как-то так..

сразу оговорюсь я не пишу про rsync репозитории.

все репозитории работают преимущественно по ssl, все репозитории имеют защиту от M-I-M из-коробки. Т.е. когда ты синхронизируешь репозиторий ты можешь быть уверен, что посреди нет человека, и что ничего не подменяно. Единственный способ атаки - получить физический доступ к репозиторию, что в общем-то не отличается от получения доступа к gpg ключу. На случай с деревом, которое распространяется с зеркал эти рассуждения не распространяются.

Хорошо, если так.

Пойду открою следующую тему - «PYPI-помойка и безопасность».

ы?

FEATURES variable contains unknown value(s): gpg

какой портаж?

sys-apps/portage-2.1.12.13

IN_PROGRESS

тут про само дерево, полезно, но не относится к теме.

http://www.gentoo.org/doc/en/handbook/handbook-x86.xml?part=2&chap=3&...

щас найду про отдельные менифесты

в общем узнаю текущее состояние отпишусь.

можешь не запиливать новый тред, пока полноценного решения нет.

А то, что было - выпилили что ли? Странные.

отсутсвующая реализация иногда лучше кривой. вангую, что фича приводила к невозможности установить половину нормальных пакетов, или что-то около того.

Самая правдоподобная догадка. Но движуха за подписывание была, значит вполне вероятно, что запилят, если им напоминать раз в полгода.

<@dol-sen> the gentoo-keys project uses the source philosophy, it has seed key info, then imports the keys from a server and checks the fingerprints match what was expected

<@dol-sen> there will be a layman seed key file once there are overlays that require it, dev overlays will have the dev gpg keys available already

<@dol-sen> Currently, I am starting to work on the git hook for verifying git commits for the git migration

<@dol-sen> the layman repositories list is slated to be gpg signed, and moved to a different server/url

<@dol-sen> so it will authenticate the repo list it downloads

<@dol-sen> like i said there is preliminary support in layman-9999 already, but I will change it to use the gentoo-keys as the dep which will use the same lib I created to interface gpg for layman, so should be a simple migration

<@dol-sen> it shouldn't be hard to add gpg support into portage using the gentoo-keys project for verification too

Даже в Ubuntu есть apt-key для ppa

Что мешает запилить в ппа руткит и подписать его?

Гуд. Странно, что он это в layman пилит, а не в portage.

Currently, I am starting to work on the git hook for verifying git commits for the git migration

Этого portagу тоже не хватает.

Где найти дурака, который его установит?

туплю

т.е. не странно, только в portage не сделать проверку всего

Если даже список репозиториев загружается без проверки сертификатов с http://www.gentoo.org/proj/en/overlays/repositories.xml

s/http/https/

Внезапненько да.