LINUX.ORG.RU

Команда Devuan просрочила основной ключ подписи репозиториев

 , ,


4

4

Ключ, которым подписываются все системные обновления, выпущенный в 2017 году, был действителен до 2 сентября 2022 года. Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt в связи с отсутствием действительного ключа. Разработчики дистрибутива, судя по всему, узнали о просрочке из жалобы на форуме и сгенерировали новый пакет devuan-keyring, который предлагают скачать через http (поскольку apt неработоспособен) и без каких-либо проверок сразу установить.

wget http://deb.devuan.org/devuan/pool/main/d/devuan-keyring/devuan-keyring_2022.09.04_all.deb
dpkg -i devuan-keyring_2022.09.04_all.deb
Впрочем, какую-никакую проверку провести всё-таки можно, на странице пакета (по https) указан sha256-хэш deb-файла: 96c4a206e8dfdc21138ec619687ef9acf36e1524dd39190c040164f37cc3468d, который можно сравнить так:
sha256sum devuan-keyring_2022.09.04_all.deb
перед тем как запускать dpkg -i.

Старый ключ:

/etc/apt/trusted.gpg.d/devuan-keyring-2017-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [просрочен с: 2022-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [  просрочен ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
Новый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2022-archive.gpg
------------------------------------------------------
pub   rsa4096 2017-09-04 [SC] [   годен до: 2023-09-03]
      E032 601B 7CA1 0BC3 EA53  FA81 BB23 C00C 61FC 752C
uid         [ неизвестно ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
sub   rsa4096 2017-09-04 [E] [   годен до: 2023-09-03]

Несмотря на то, что, по-видимому, новый ключ легитимен, стоит отметить, что цепочка безопасного доверия ключей прервана, и пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных, в доверенном списке браузера.

>>> Подробности

★★★★★

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 3)
Ответ на: комментарий от BydymTydym

С того что понятие «отзыв ключа» как самостоятельная сущность вообще неприменимо к apt. У apt есть список доверенных ключей (локальный). Если ты хочешь что-то из него отозвать - то удаляешь ключ. Ключа нет - доверия нет, и для apt нет разницы, был ли он там раньше и отозван, или его там никогда и не было.

firkax ★★★★★
() автор топика
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Причём тут CRL?

А ты посмотри комментарий на который я отвечал.

меняется либо установленными пакетами (перед установкой проверяемыми теми ключами, которые уже есть) либо вручную администратором

Получается чтобы автоматически отозвать скомпрометированный ключ, нам нужно иметь на системе как минимум 2 независимых ключа. Судя по эпичному обсёру, описанному в данной новости, у баттхёртиана это не так. А у Дебьяна?

zabbal ★★★★★
()
Ответ на: комментарий от Polugnom

Debian перешел на systemd -> Ubuntu перешла на systemd

Более того, успев перед этим сделать громкое заявление о том как сильно им не нравится systemd, и какой у них NIH Upstart крутой - от которого в своё время изрядно подгорело у Леннарта кстати :)

Дальнейший пук-среньк от каноникла после перехода Debian на systemd это был тот ещё кринж конечно.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

А ты посмотри комментарий на который я отвечал.

Ты отвечал на комментарий про сертификаты, который никаким боком не связан с apt, и приплёл к нему зачем-то apt.

Получается чтобы автоматически отозвать скомпрометированный ключ, нам нужно иметь на системе как минимум 2 независимых ключа

Кажется, да. Точнее, отозвать то можно, но после этого одновременно рассылать обновления и старо- и ново-ключным клиентам будет затруднительно.

А у Дебьяна?

Не особо вникал, там много ключей и они время от времени меняются. Возможно, у них разные сферы ответственности.

firkax ★★★★★
() автор топика
Ответ на: комментарий от firkax

в случае грамотно организованной системы он не может сломать сервер с чексуммами и дистрибутивами

Syncro ★★★★★
()

цепочка безопасного доверия ключей прервана

А что, не могли открутить системное время назад на начало 2 сентября и сгенерить сертификат на основе непросроченного сертификата? Зачем прерывать было?

Или они не владеют сервером со своим root CA?

Xintrea ★★★★★
()
Ответ на: комментарий от Xintrea

Я не очень разбираюсь в том, как работают подписи в apt (вроде бы там gpg используется но в нём я тоже не разбираюсь). Но по-моему никаких root CA и сертификатов там нет, есть просто ключ, который для того чтобы быть доверенным должен лежать в определённой директории на компе. Чего они могли или не могли сгенерить тоже не знаю, но итог такой: рекомендуют скачать новый ключ без проверки его предыдущим ключём.

firkax ★★★★★
() автор топика

Будто у этих васянов могло быть иначе, лол

a1batross ★★★★★
()
Ответ на: комментарий от firkax

конечно не нужно, нет паразитов - нет индицентов

Syncro ★★★★★
()
Ответ на: комментарий от zabbal

Про Devuan не уверен, а antiX разраб работает отлично! Ему памятник поставить «из дебиана сделать один из лучших дистров». Ладно с флудом закончил. Есть вопрос по делу к обществу.

Камрады, на одну машину я успел поставить до 2-ого числа, а чего делать кому ставить нужно, там в установщике ругань идет на репы, и если игнорировать, он только часть базовых поставить.

Мне срочно нужно поставить devuan именно, не могу установить.

erzsebet
()
Ответ на: комментарий от erzsebet

А в образах на сайте до сих пор старый ключ вшит? Багрепорт наверно надо создать тогда.

firkax ★★★★★
() автор топика
Ответ на: комментарий от erzsebet

там в установщике ругань идет на репы, и если игнорировать, он только часть базовых поставить

Мне срочно нужно поставить devuan именно, не могу установить

И вот всё у них так. На месте авторов баттхёртиана я б на таких пользователей тоже поклал - смысл париться? Им же пшено кинь - они клевать начнут.

zabbal ★★★★★
()
Ответ на: комментарий от firkax

Меня net-install интересует именно, да меня на фиг посылал при установке

erzsebet
()
Ответ на: комментарий от zabbal

Ты умные самый Заббал на всех класть, это я на серверах с дебианом на ты 6 лет был! А домой линукс хомяками нужен. И вообще пока есть Void мне мало лично интересные другие дистры, просто около 20 пк в доме, хотел Devuan поставить на пару машин ради разнообразия и надоже мне было это как раз около 2-ого числа затеять

erzsebet
()
Ответ на: комментарий от zabbal

баттхёрт zabbal может по русски будешь выражаться, пынгвин недоученный ты, вот у меня южнорусинский из Сербии родной язык, но пишу я тебе ответ на русском языке из уважения к русским

ЗЫ почему я должен сам твою аброкадабру переводить на русский язык и пытаться смысл понял

ЗЫ считаю одной из главных проблем линукса в нежелании массовости для домохозяек, вторая проблема (но это оффтоп не по теме уже, а первая это горячая проблема) - это GDE и куча ненужного хлама в линуксах с рабочим окружением, люое окружение тщит хлама, исключение Void

erzsebet
()
Последнее исправление: erzsebet (всего исправлений: 1)
Ответ на: комментарий от Vic

Копия дебиана но где нет systemd и его не притащит даже самый умный, в таком виде он нужен, нужен потому что мало желания и знаний с нуля собирать самому.

erzsebet
()
Ответ на: комментарий от erzsebet

я на серверах с дебианом на ты 6 лет

И при этом не раздупляешь как можно скорректировать тривиальную ошибку при наличии (пускай и жутко кривого) фикса. И логи для тебя «ругань». Ага, верю чо - истинный «ветеран юникса».

Вот прям эталонная целевая аудитория этого прикол-дистрибутива.

хотел Devuan поставить на пару машин ради разнообразия

Мне срочно нужно поставить devuan именно

И кому ты брешешь, шептарин? Если бы «для разнообразия», то откуда срочность?

zabbal ★★★★★
()
Ответ на: комментарий от erzsebet

Копия дебиана но где нет systemd и его не притащит даже самый умный

А мне ещё не верили, когда я говорил что цель баттхёртиана это ограничение свободы выбора пользователей.

zabbal ★★★★★
()
Ответ на: комментарий от zabbal

Нет, не ветеран, всего 8 лет в сети и компы после перерыва. Твое дело верить или нет. У меня одни - void и antix дома, artix не понравился чего то, полгода поюзал и снес. А начинал как и все с дебиана. 2-ого числа решил вспомнить молодость и devuan вернуть, помучился два дня и шли бы они в йопу реально, лучше я на антиксе и войде посижу, антикс - крут, Грек - крут, а к войду всего одна претензия, Хозяина кинули, но дистр от этого не умер и хуже не стал, он лучший на сегодня.

erzsebet
()
Ответ на: комментарий от slepoy_pew

Потому что я сам лично видел всего один раз в жизни как из дебиана сделали человека, это грек с его antix, все остальное что на дебиане что сам дебиан - это мрак а хуже всего apt и его зависимости. Дебиан - самый простой и надежный но при этом куча мучений тебе гарантирована при попытке - шаг влево, шаг вправо, прыжок на месте, жри чего дают и ни каплей больше

erzsebet
()
Ответ на: комментарий от erzsebet

если переведешь на русский вот сие ругательство «баттхёртиан»

Транслитерация на русский butthurtian - парафраз на butthurt + devuan. Достаточно распространённое уничижительное название для этого паразит-дистрибутива среди тех, кто считает ограничение свободы выбора пользователей неприемлемым.

Учи английский - проще будет понимать что за ошибки в логах выскакивают и как их решать.

zabbal ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.