LINUX.ORG.RU

Команда Devuan просрочила основной ключ подписи репозиториев

 , ,


4

4

Ключ, которым подписываются все системные обновления, выпущенный в 2017 году, был действителен до 2 сентября 2022 года. Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt в связи с отсутствием действительного ключа. Разработчики дистрибутива, судя по всему, узнали о просрочке из жалобы на форуме и сгенерировали новый пакет devuan-keyring, который предлагают скачать через http (поскольку apt неработоспособен) и без каких-либо проверок сразу установить.

wget http://deb.devuan.org/devuan/pool/main/d/devuan-keyring/devuan-keyring_2022.09.04_all.deb
dpkg -i devuan-keyring_2022.09.04_all.deb
Впрочем, какую-никакую проверку провести всё-таки можно, на странице пакета (по https) указан sha256-хэш deb-файла: 96c4a206e8dfdc21138ec619687ef9acf36e1524dd39190c040164f37cc3468d, который можно сравнить так:
sha256sum devuan-keyring_2022.09.04_all.deb
перед тем как запускать dpkg -i.

Старый ключ:

/etc/apt/trusted.gpg.d/devuan-keyring-2017-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [просрочен с: 2022-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [  просрочен ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
Новый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2022-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [   годен до: 2023-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [ неизвестно ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
sub   rsa4096 2017-09-04 [E] [   годен до: 2023-09-03]

Несмотря на то, что, по-видимому, новый ключ легитимен, стоит отметить, что цепочка безопасного доверия ключей прервана, и пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных, в доверенном списке браузера.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 3)
Ответ на: комментарий от utanho

У меня есть и несколько дебианов с системд и rc.local там к счастью не сломали. До того как внедрили системд я пытался более-менее культурно писать к кастомным сервисам init-скрипты а теперь просто сую весь автозапуск тупо в /etc/rc.local, потому что разбираться с этой помойкой смысла не вижу.

А вот хочу пакет собрать с демоном - уже rc.local явно не катит, в итоге так и забил пока что.

firkax ★★★★★
() автор топика
Последнее исправление: firkax (всего исправлений: 2)

Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt

Зато systemd не пройдет! ;)

X-Pilot ★★★★★
()

Хм, судя по разным признакам, новый ключ таки не совсем новый, а старый с исправленной датой истечения. Но я не знаю как это точно проверить

старый пакет

новый пакет

если так, то наверно был способ (не знаю какой) продлить ему эту дату и на локалхосте, без скачивания непроверенных файлов. Однако итоговый официальный способ обновиться, выложенный уже ближе к ночи вчера, этим пользоваться не пытается, всё так же предлагает ставить без проверки подписи. Хотя, из двух предложенных вариантов ОДИН (второй) хотя бы предполагает проверку хеша, но по сути всё так же опирается на доверие к сайтовому сертификату.

firkax ★★★★★
() автор топика
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от Polugnom

а ветераны хрюникс соизволили собрать новый установочный образ с исправленной версией apt только через 9 месяцев

А чё им париться-то? Донаты капают, пипл хавает.

zabbal ★★★★★
()
Ответ на: комментарий от hobbit

Две или три мажорные версии

В которых аж целых 2 (или 3?) оригинальных пакета. Бедные вытираны юниха, они так надорвались от этой непосильной нагрузки что аж сертификат продуплили.

Devuan предназначен для предоставления возможности использовать альтернативные системы инициализации

Не ври - боженька сзади покарает. Альтернативные системы инициализации без проблем выбираются в Debian, цель баттхёртиана - ограничить пользователей в возможности выбора систем инициализации потому что его авторам не нравится то, какой выбор делают пользователи, если их не ограничивать.

zabbal ★★★★★
()
Последнее исправление: zabbal (всего исправлений: 1)
Ответ на: комментарий от sbu_shpigun

Та нормально всё, кто-то завтыкал.

Та ваще проблем не вижу, сладкий хлебушек, пахучий, ещё тёплый - кушайте, продакшн только не обляпайте.

zabbal ★★★★★
()
Ответ на: комментарий от utanho

В системд немного не так работает.

Полагаешь у них есть чем это понять? Это ж вытираны юникса, у них всегда «можно было пробовать» вместо «я сделал».

zabbal ★★★★★
()
Ответ на: комментарий от nemixer

1 апреля сообщение о взломе redhat'ом nonsystemd-дистрибутива, точно не шутка?

MOPKOBKA ★★★★★
()

Полтора пользователя этого «дистрибутива» негодуют

neocrust ★★★★★
()
Последнее исправление: neocrust (всего исправлений: 1)

ключи это источник паразитического существования для бестолочи, которой удобно ничего не делать и драть за это много денег

Syncro ★★★★★
()
Ответ на: комментарий от zabbal

Альтернативные системы инициализации без проблем выбираются в Debian

при этом отваливаются любые DE навороченнее какого-нибудь IceWM.

alegz ★★★★
()
Ответ на: комментарий от carasin

Ветераны, так понимаю, к успеху пришли.

А то! Можно покласть болт на пользователей и спокойно стричь донатики, залипая в тикток - быдло всё-равно схавает. При этом всю работу сделает Debian пока ты в потолок плюёшь - чем не успех-то?

zabbal ★★★★★
()
Ответ на: комментарий от alegz

при этом отваливаются любые DE навороченнее какого-нибудь IceWM.

С чего бы это вдруг? Они работают через elogind точно так же, как и в Devuan.

Rootlexx ★★★★★
()
Ответ на: комментарий от Rootlexx

Аааа... Я еще хотел ему написать что знаю пару Расселов, в том числе и Бертрана. Но про чайник не просек.

Polugnom ★★★★★
()
Последнее исправление: Polugnom (всего исправлений: 1)

я и забыл уже, про что этот диван был

seiken ★★★★★
()
Ответ на: комментарий от Syncro

ключ - это не чексумма. Ключом закрывают и/или открывают.

seiken ★★★★★
()
Ответ на: комментарий от ipkirill22x

вменяемой альтернативы шапке или космонавту, а уж тем более яблоку или некрософту нет совсем

Обычный Дебиан, без гордых стремлений полуддитствовать - чем не альтернатива? Арч - чем не альтернатива? Генту - чем не альтернатива? Ну, раз есть нужда в альтернативах. Вполне живы. Насколько сетевые структуры в принципе могут быть полноценной альтернативой так или иначе пирамидальным.

IRASoldier ★★
()
Последнее исправление: IRASoldier (всего исправлений: 1)
Ответ на: комментарий от Polugnom

я понятия не имею кто такой Рассел

Не, так просто тебе соскочить с темы не удастся. Чайник верни на место.

BydymTydym
()
Ответ на: комментарий от Rootlexx

Совершенно верно. Без него за орбитой Марса стало совсем пусто.

BydymTydym
()
Ответ на: комментарий от Polugnom

Все это разбивается об эпопею с выпиливанием libsystemd0

Ну как бы это говорит скорее о том, какой системд зонд, а не о том, какие разработчики девуана тупые. Хотя бы потому, что apt remove systemd должно было быть достаточно.

baobab
()
Последнее исправление: baobab (всего исправлений: 1)
Ответ на: комментарий от firkax

то наверно был способ (не знаю какой) продлить ему эту дату и на локалхосте

Для продления его надо переподписать - а для этого нужен ЗАКРЫТЫЙ ключ.

Тут разве что вариант с откатом даты на локальной машине в прошлое. Но там может уже apt возмутиться(тут я не спец) - ядро например при сборке дико офигевает если дата изменения файлов на диске в будущем относительно часов самого ПК.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Syncro

Чексумма удостоверяет что скачанный образ не был изменен в процессе скачивания - и всё. Хакир тебе выложит образ c rm -rf внутри и чексумму к нему - и ты об этом не узнаешь.

Подпись же удостоверяет, что скачанное было проверено тем, кто подпись поставил. И если она невалидная - значит караул. Естественно должны быть проверяемые способы валидации подписи - WoT, все дела. Но этим обычно мало кто из пользователей заморачивается(чексумму-то не все проверяют, пока на битый образ не натыкаются).

Поэтому нарушение цепочки доверия - это fail. И если б не повсеместный HTTPS - это был бы epic fail.

Pinkbyte ★★★★★
()
Последнее исправление: Pinkbyte (всего исправлений: 2)

Очень ожидаемо от проекта который делается не «ради», а «вопреки».

slovazap ★★★★★
()
Ответ на: комментарий от zabbal

цель баттхёртиана

Кастовать в каждую новость про sysvinit и devuan zabbal'a, чтобы он доказывал, какое это ненужно.

baobab
()
Ответ на: комментарий от Pinkbyte

Тут разве что вариант с откатом даты на локальной машине в прошлое.

Это первое, что я попробовал - apt стало ругаться что у текущей репы в подписи стартовая дата действительности в будущем (аналогично как https ругается на сертификаты из будущего) и так же отказывалось работать. Пересечений, где стартовая дата уже не в будущем, а старый ключ ещё не просрочился - не было.

firkax ★★★★★
() автор топика
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

создавай через /etc/systemd/system/myservice.service :)

pfg ★★★★★
()
Ответ на: комментарий от baobab

apt remove systemd должно было быть достаточно

Кому должно? С какого перепугу разработчики Debian должны обслуживать интересы недоумков, которые собственный ключ на ровном месте продолбать умудрились?

zabbal ★★★★★
()
Ответ на: комментарий от Pinkbyte

Поэтому нарушение цепочки доверия - это fail.

В данном случае это просто наглядная иллюстрация того, как долго разработчики баттхёртиана собирались стричь бабло с терпил. Тот факт, что до сих пор находятся желающие, которых можно остричь - стал сюрпризом даже для создателей этого пранк-дистрибутива.

zabbal ★★★★★
()
Ответ на: комментарий от IRASoldier

Обычный Дебиан, без гордых стремлений полуддитствовать - чем не альтернатива?

Тем, что он идет по течению за красной шляпой и космонавтом и отличается лишь строчками в /etc/apt/sources.list от последнего.

Арч - чем не альтернатива?

Нестабильный, разваливающийся роллинг - это альтернатива на том же производстве? Вы серьезно?

Генту - чем не альтернатива?

Может быть тем, что ее тяжело обслуживать и некому?

ipkirill22x
()
Последнее исправление: ipkirill22x (всего исправлений: 1)
Ответ на: комментарий от BydymTydym

Я когда серты генерю, то не мелочусь - ставлю сразу 2099 год

Кстати любопытно, а apt вообще CRL проверяет?

zabbal ★★★★★
()
Ответ на: комментарий от ipkirill22x

Нестабильный, разваливающийся роллинг - это альтернатива на том же производстве?

Зато поделие луддитов, продалбывающих ключи, и помимо баттхёрта знаменитых исключительно первоапрельскими «взломами» - это альтернатива конечно, ага :-D :-D :-D

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

Зато поделие луддитов, продалбывающих ключи, и помимо баттхёрта знаменитых исключительно первоапрельскими «взломами» - это альтернатива конечно, ага :-D :-D :-D

А где я утверждал, что это - альтернатива? Есть даже комментарий об обратном: Команда Devuan просрочила основной ключ подписи репозиториев (комментарий)

Дословно:

Это трагедия, которая лишний раз доказывает, что вменяемой альтернативы шапке или космонавту, а уж тем более яблоку или некрософту нет совсем. И от этого - страшно.

ipkirill22x
()
Ответ на: комментарий от zabbal

Причём тут CRL? У apt есть список доверенных ключей, он хранится локально. Какие ты туда положишь те и будут. Изначально список бутстрапится вместе с установкой системы, а потом меняется либо установленными пакетами (перед установкой проверяемыми теми ключами, которые уже есть) либо вручную администратором.

firkax ★★★★★
() автор топика
Ответ на: комментарий от ipkirill22x

космонавтом и отличается лишь строчками в /etc/apt/sources.list от последнего.

Это не вина дебиана что убунта делает пересборки его тестовой ветки. Конечно, пересборки мало чем будут отличаться. И кроме убунты есть ещё куча дебианоподобных дистров.

firkax ★★★★★
() автор топика
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от ipkirill22x

Тем, что он идет по течению за красной шляпой и космонавтом и отличается лишь строчками в /etc/apt/sources.list от последнего.

Debian перешел на systemd -> Ubuntu перешла на systemd
Причина -> Следствие
Так что то, кто там в чьем течении идет не так очевидно

Polugnom ★★★★★
()
Последнее исправление: Polugnom (всего исправлений: 1)
Ответ на: комментарий от BydymTydym

Ещё один. Какой openssl, при чём тут это вообще? Речь не про соединение с сервером а про проверку подлинности скаченного файла. Качать его можно как угодно и откуда угодно, привязки к каким-то доверенным серверам там нет, можешь поднимать своё зеркало, всем его раздавать, и всё будет так же безопасно работать.

firkax ★★★★★
() автор топика
Ответ на: комментарий от ipkirill22x

и отличается лишь строчками в /etc/apt/sources.list от последнего

Т.е. быть непохожим на других - это такая самостоятельная сверхценность, которая перевешивает функциональность и качество софта? :-)

Видите ли, вот есть у нас, допустим, ИП «Вкусножрищев» и предприятие сети «Корлеоне»: оба готовят пиццу пеппероне не отступая от канонического набора ингредиентов - однако может быть так, что у Вкусножрищева пеппероне оказывается куском неудобоваримого и сомнительно пахнущего шЫта, а у «Корлеоне» - таки хорошей, годной пиццей. А может быть и наоборот.

Различия важны в том, насколько хорошо готовят продукт разные команды, а не в том, что одна из них непременно должна класть в пиццу, скажем, исключительно фермерскую колбасу ручной работы из жертвенных поросят, выращенных под непрерывающееся пение гимнов Звездной Жабе на священных лугах Мискатоника.

Нет, можно и так, и даже ассортимент из стопицот видов пиццы, но какие-то из них не будут пользоваться популярностью и станут нишевым продуктом для десятка едоков и делать их будут только в единственной шаурмячной на вокзале в Кукуево, потому что в других местах они нафиг никому не нужны.

Ну вот есть Девуан - ну нужен он малочисленной группе луддитов, ну так и радуйтесь, оно у вас есть. А, ошибки в инфраструктуре… Ну так присоединяйтесь к команде единомышленников и исправляйте. А не нойте, что «пропал Калабуховский дом».

IRASoldier ★★
()
Последнее исправление: IRASoldier (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

хакир может сделать, что угодно с чем угодно, подменить ключи, уц, пакет проверяющий подписи. А весь этот гемор вокруг постоянно протухающих ключей - бюрократический паразитизм.

Syncro ★★★★★
()
Ответ на: комментарий от Syncro

В случае грамотно организованной системы - не может без предварительной компрометации либо твоего компа, либо компа с приватным ключём подписи.

firkax ★★★★★
() автор топика
Ответ на: комментарий от Syncro

А весь этот гемор вокруг постоянно протухающих ключей - бюрократический паразитизм.

Критикуя - предлагай. Существующая система криптографии неидеальна, это факт. Но другой у нас нет.

Pinkbyte ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.