Подпись репозитория

Ubuntu / Debian - релизный дистрибутив, т.е. есть версионирование. Обновления выходят, но условно не каждые 5 минут.

А Arch - rolling-релиз дистрибутив. Т.е. обновление непрерывно, нет релиза / версии дистрибутива и пакеты заливаю в репозиторий и подписывают мантейнеры пакетов.

Если там подписывать ещё и список файлов - то будут проблемы, должен быть отдельный человек, а лучше 2-3, кто будет условно каждые 5 минут формировать список пакетов, удостоверять подписью.

Да, можно автоматизировать, только смысла думаю нет.

как эти системы поймут, что это произошло ?

Попытаются скачать файл при установке - сервер ответит «404 error».

Но этот 404 будет неподписан. Т.е. непонятно это реально пакет изъяли, или зеркало его не скачало. А если пакет удалят как вредоносный то на зеркалах он может остаться.

Делаем вывод - дыра в механике Arch Linux. Записал.

Для меня это больная тема :(

Мета пакеты в Дебиан на iso не подписаны. Я качаю iso, без проблем ставлю и apt при установке с сдром плевал на подпись.

Но если я этот iso кладу локально, то фиг я поставлю это по сети (через PXE), нужна подпись мета пакета а ее на, iso нет.

Почему то в Бубунте и Астре эта подпись есть ….

не совсем.
дерево доверия строится от InRelease или Release + Release.gpg файлов в корне репозитория. они подписаны цифровой подписью которую можно сравнить с имеющейся в настройках апт.
в Release перечислены индексы и хеши к ним компонентов репозитория.
а уже в индексах присутствуют ссылки на файл и хеши пакетов репозитория.

не думаю чтоб в каком либо дистре есть отхождения от подобной дерева доверия. изучи документацию.

Если кто-то удалит пакет из репозитория и из списка как эти системы поймут, что это произошло ?

Так и там и там удалят и чем это отличается от той же Убунты?

Или вы про то что враги удалят?

И в чем я не прав?

Где Release.gpg в debian-13.5.0-amd64-DVD-1.iso?

хз, не пользовался ни разу. надо глянуть. и документацию по подключению источника cdrom:// почитать :) мож не влом будет - читну.

Я уж по этим граблям находился в путь :(

Одно то что берем debian-13.5.0-amd64-netinst.iso и пытаемся его ставить по PXE (без инета) а оказывается он там не содержит рамдиска (initrd.gz) для PXE и половина устройств в ….

И это он должен тянуть с инета ;(

Блин и зачем они это делают :(

для pxe там кажись спец.файлы лежат. емнип конечно же.

ага вот отсюда и до обеда
https://www.debian.org/releases/stable/amd64/ch04s05.ru.html
файлики здесь
https://mirror.yandex.ru/debian/dists/Debian13.5/main/installer-amd64/20250803/images/netboot/debian-installer/amd64/

iso не предназначен для pxe. так что его приходится костылить вне сидиром-носителя…
даже узкозаточенный вентой периодически обламывает зубы на iso, селяви…

нетинст и предназначен тянуть все пакеты с тырнетика. хотя я кажись ему кеш пакетов с локального диска умудрялся монтировать.

Могли и подложить PXE диру на netinstall… Вот если netinstall ставить с iso и по минимуму то он ставится без проблем и без интернета. Но с локальной сети облом ;(

Но самое главное это то что в официальных iso нет этого Release.gpg а вот это реально бесит :(

можно, а зачем ?? сия дира отлично лежит в своем специально отведенном месте :)
а что не получается в локальной сети ?? с nat что локалка, что глобалка по х..
хз, не понимаю что тебя бесит. нашел какойто лайв двд дебъяна. в нем pool всего 366мб. так мелочевку доустановить после инсталяции.
опять же диск с дебъяном в твоих руках. крануть его никто не сможет.

Я привык в локалке ющать виртуалки с авто установкой. В случае Шапки это кикстарт, в случае Дебиана это дселект.

И по PXE это не катит в дебиане, приходится исошки таскать :(

Да в дибане я даже не могу без проблем упдаты скачать локально :(

Возможно, я чего то не понимаю, но в век виртуалок и прочего pxe по моему не в почёте. Если хочется минимизировать траффик, то проще развернуть apt-cacher-ng какой-нить и не парить себе мозг.

кто будет условно каждые 5 минут формировать список пакетов, удостоверять подписью.

Хотя бы раз в день, как в Gentoo, можно формировать и подписывать снапшот: https://mirror.yandex.ru/gentoo-distfiles/snapshots/

Можно после каждого комита в репу дергать: gemato update … https://github.com/gentoo/gemato/

Идея Манифест файлов настолько хорошая, что я написал свою реализацию gemato на чистом sh, чтобы везде работало.

Да, можно автоматизировать, только смысла думаю нет.

Уверен, что смысл в верификации целостности и аутентичности есть.

Если хочется минимизировать траффик,

Это не для минимизации трафика а на всякий случай если вдруг доступ закроют.