LINUX.ORG.RU

Тестирование pacman 4.0-RC1, а также новая функция подписи пакетов и репозиториев Archlinux

 ,


0

1

Разработчики дистрибутива Archlinux приглашают всех желающих к тестированию кандидата в релизы основного менеджера пакетов в дистрибутиве - pacman 4.0-RC1 (Скачать i686, x86_64). Обновления базы данных не требуется, как сообщают разработчики, пока полет нормальный.

При тестировании рекомендуется уделить внимание следующим вопросам:

  • Любые ошибки при сборке пакетов с помощью makepkg;
  • Работа repo-add для локальных репозиториев;
  • Адекватная работа pacman в целом;
  • Работает ли функциональность по подписи пакетов в makepkg и хорошо ли это описано в документации;
  • (То же) для репозиториев.

Чем можно помочь:

  • Перевод (локализация);
  • Работа с ключами для подписи, для ознакомления можно обратиться к pacman-key;
  • Ошибки при проверке подлинности пакетов или подтверждение неизвестных пакетов.

Даже если вам не нравится инициатива с подписью пакетов, все равно любые сообщения об ошибках с нововведениями в приложении (например, скачивание пакетов теперь происходит с использованием curl) окажут разработчикам значительную помощь.

>>> Подробности

★★★★★

Проверено: post-factum ()
Последнее исправление: post-factum (всего исправлений: 1)

О, подписи. Надо затестить.

post-factum ★★★★★
()

Арчеводы придумали подписывать пакеты. Ну, здорово, конечно - еще немного, и начнут придумывать и другие фичи из RPM.

plm ★★★★★
()
Ответ на: комментарий от plm

>и начнут придумывать и другие фичи из RPM.

Огласите список того, что нужно ещё придумать, пажалуйста.

Zveroy
()
Ответ на: комментарий от gentoo_root

gentoo_root

Когда уже в Генте будут подписывать пакеты?

Разве в генте есть пакеты? Если ебилд скачивает архив с исходниками с сайта разработчика, та как его подписывать?

vurdalak ★★★★★
()
Ответ на: комментарий от gentoo_root

>Когда уже в Генте будут подписывать пакеты?

А разве у вас подписей к ебилдам и прочей инфраструктуре нет? А бинарники вам подписывать и не светит.

kss ★★★★★
()
Ответ на: комментарий от gentoo_root

Убери, пожалуйста, слово «gentoo» из ника.

Un
()
Ответ на: комментарий от gentoo_root

> Когда уже в Генте будут подписывать пакеты?

Чудо-трава, не иначе.

geekless ★★
()
Ответ на: комментарий от anonymous

А в чем проблема-то?

В том, что у генты нет репозитория, в котором можно подписывать и складывать архивы с исходниками. Ибо эти архивы тянутся из разных мест.

vurdalak ★★★★★
()
Ответ на: комментарий от overmind88

>Придумать-то придумали, но непонятно зачем.

Чтобы какой-нибудь мужик-по-середине не мог подменить нормальные пакеты, пакетами с какой-нибудь малварью.

Если, к примеру, скопрометировать какое-нибудь зеркало, то будет очень плохо всем пользователям этого зеркала. С подписями это уже не так страшно.

Zveroy
()
Ответ на: комментарий от vurdalak

>Если ебилд скачивает архив с исходниками с сайта разработчика, та как его подписывать?

Во-первых, он сначала пытается скачаться с зеркала. Если ни с одного зеркала не получилось, то качает уже на сайте разработчика. А зеркала можно уже оснащать сертификатами, как в бубунте с репозиториями, например.

gentoo_root ★★★★★
()
Ответ на: комментарий от vurdalak

>В том, что у генты нет репозитория, в котором можно подписывать и складывать архивы с исходниками. Ибо эти архивы тянутся из разных мест.

Подписывать именно архивы с исходниками — совершенно не проблема, достаточно в ebuild добавить строчку с md5sum или чем-то подобным исходников. Собственно, в арчевских PKGBUILD'ах (возвращаясь к теме топика) так оно и сделано, наверняка в gentoo тоже подобное есть.

kss ★★★★★
()

Любопытно. Испытаем.

Urchin ★★★
()

Ну наконец то.

Подписей не было потому что кое кто из разрабов считал что простота важнее безопасности. Наконец то его угомонили блджад. И вообще что то в арчике за последние пол года случилось много положительных изменений. Радостно за любимый дистр.

working_unit_0
()
Ответ на: комментарий от anonymous

>тебе манифеста с контрольными суммами мало чтоли?

В арчевских PKGBUILD'ах тоже это есть, но они что-то ещё придумали. Или это они только для бинарных пакетов?

gentoo_root ★★★★★
()

Кстати, может кто-нибудь объяснять, в чем профит подписывания? Если мейнтейнеру дали доступ к репозиторию, то дали и ключ для подписи. А если нет, то у него нет возможности подсунуть другой пакет.

vurdalak ★★★★★
()
Ответ на: комментарий от gentoo_root

>Или это они только для бинарных пакетов?

Именно. Как в дебах и рпмках.

kss ★★★★★
()
Ответ на: Ну наконец то. от working_unit_0

И вообще что то в арчике за последние пол года случилось много положительных изменений.

Для не арчеводов огласи список, пожалуйста.

Vovka-Korovka ★★★★★
()

Господа, скажите, люди, который обсуждают подписи пакетов в Генте - гентушники, или это бубунтоиды пришли потроллить? бред какой-то несут

Насчёт подписей. Как-то на джаббер-конфе юниксфорума один гентонелюбитель указал на то, что в Генте нет штатного механизма контроля целостности собранных пакетов, что очень актуально для сервера. То есть, нужно что-то типа подписей, но подписи иного рода - после сборки пакета emerge делает хэш для бинарников и запоминает, чтобы потом можно было запустить программу проверки.

Un
()
Ответ на: комментарий от gentoo_root

хеши в манифесте, аж целых три разных.

freetype-2.4.6.tar.bz2 RMD160 SHA1 SHA256 size ;-) ... [ ok ]

nevar ★★
()
Ответ на: комментарий от vurdalak

Защита от взлома хранилища пакетов и/или его зеркал.

anonymous
()
Ответ на: комментарий от vurdalak

>Кстати, может кто-нибудь объяснять, в чем профит подписывания? Если мейнтейнеру дали доступ к репозиторию, то дали и ключ для подписи. А если нет, то у него нет возможности подсунуть другой пакет.

Эта проблема не решается подписями.

Подписи помогают убрать проблемы на зеркалах, на которых левые люди могут положить левые пакеты. Такое, кстати, вполне вероятно, и тут подписи пригодятся.

anonymous
()
Ответ на: комментарий от Zveroy

> Чтобы какой-нибудь мужик-по-середине не мог подменить нормальные пакеты, пакетами с какой-нибудь малварью.

Да это я понимаю, но думаю, что вероятность такого случая близка к нулю

overmind88 ★★★★★
()
Ответ на: комментарий от dotbg

мне больше интересно, что с aur будет.

А что с ним должно быть? Помойкой был, помойкой останется, дисклеймер никуда не денется.

baverman ★★★
()
Ответ на: комментарий от Zveroy

>> Придумать-то придумали, но непонятно зачем.

Чтобы какой-нибудь мужик-по-середине не мог подменить нормальные пакеты, пакетами с какой-нибудь малварью.

Что мешает мужику-по-середине подписать пакеты своей подписью? Всеравно в репозитариях нет всего набора софта, нужного пользователю, и он вынужден ставить из сторонних. А в них либо подписи нет, либо открытый ключ надо прописывать, что геморно. Прощще тыкнуть на кнопку «всеравно установить пакет» и не заморачиваться.

webhamster
()
Ответ на: комментарий от gentoo_root

В генте манифест подписывается, а в манифесте хеши исходников

Gary ★★★★★
()
Ответ на: комментарий от GotF

>> новая функция подписи пакетов и репозиториев

Шёл 2011 год.

Ну теперь то pacman действительно лучший pm :) </thread>

f1xmAn ★★★★★
()
Ответ на: комментарий от webhamster

Человеческий фактор и проблема доверия. Пусть лучше уж будет, чем не, механизм для определения того, можно ли доверять данном конкретному пакету. Люди, они такие — даже лучший друг может нож в спину вогнать, при определённых условиях.

Zveroy
()

как сообщают разработчики, пока полет нормальный.

«полет нормальный» - пионерская фраза (в худшем значении этого слова).

Жыли сто лет без подписей, внезапно стыдно стало. А ещё стали настройку сети НетворкМенеджером рекомендовать. А ещё... Это Арчлинукс всё ещё?

Pakostnik ★★★
()
Ответ на: комментарий от Zveroy

> скопрометировать

ну ты понел

anonymous
()
Ответ на: комментарий от Vovka-Korovka

Не арчеводы могут сходит на главную дистра и глянуть в раздел новости.

working_unit_0
()
Ответ на: комментарий от overmind88

Ага, вспомни завихрения с vsftpd думаешь если бы была возможность подменить не исходники которые легко спалить по чексумме, а пакеты на репах, атакующий не воспользовался бы этим?

working_unit_0
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.