О, подписи. Надо затестить.

Когда уже в Генте будут подписывать пакеты?

Арчеводы придумали подписывать пакеты. Ну, здорово, конечно - еще немного, и начнут придумывать и другие фичи из RPM.

>> новая функция подписи пакетов и репозиториев

Шёл 2011 год.

>и начнут придумывать и другие фичи из RPM.

Огласите список того, что нужно ещё придумать, пажалуйста.

А расскажите незнающему зачем нужна подпись то?

Для проверки достоверности источника пакетов.

gentoo_root

Когда уже в Генте будут подписывать пакеты?

Разве в генте есть пакеты? Если ебилд скачивает архив с исходниками с сайта разработчика, та как его подписывать?

>Когда уже в Генте будут подписывать пакеты?

А разве у вас подписей к ебилдам и прочей инфраструктуре нет? А бинарники вам подписывать и не светит.

Убери, пожалуйста, слово «gentoo» из ника.

> А разве у вас подписей к ебилдам и прочей инфраструктуре нет?

ЕМНИП, есть

А в чем проблема-то?

Придумать-то придумали, но непонятно зачем. Для арча нет 100500 репозиториев как для федоры или убунты.

> Когда уже в Генте будут подписывать пакеты?

Чудо-трава, не иначе.

А в чем проблема-то?

В том, что у генты нет репозитория, в котором можно подписывать и складывать архивы с исходниками. Ибо эти архивы тянутся из разных мест.

Вот и моя П так подсказывает :)

>Придумать-то придумали, но непонятно зачем.

Чтобы какой-нибудь мужик-по-середине не мог подменить нормальные пакеты, пакетами с какой-нибудь малварью.

Если, к примеру, скопрометировать какое-нибудь зеркало, то будет очень плохо всем пользователям этого зеркала. С подписями это уже не так страшно.

>Если ебилд скачивает архив с исходниками с сайта разработчика, та как его подписывать?

Во-первых, он сначала пытается скачаться с зеркала. Если ни с одного зеркала не получилось, то качает уже на сайте разработчика. А зеркала можно уже оснащать сертификатами, как в бубунте с репозиториями, например.

>Ибо эти архивы тянутся из разных мест.

4.2.

GENTOO_MIRRORS="http://portage.org.ua/ http://mirror.yandex.ru/gentoo-distfiles/"

SYNC=«rsync://rsync4.ua.gentoo.org/gentoo-portage»

тебе манифеста с контрольными суммами мало чтоли?

>В том, что у генты нет репозитория, в котором можно подписывать и складывать архивы с исходниками. Ибо эти архивы тянутся из разных мест.

Подписывать именно архивы с исходниками — совершенно не проблема, достаточно в ebuild добавить строчку с md5sum или чем-то подобным исходников. Собственно, в арчевских PKGBUILD'ах (возвращаясь к теме топика) так оно и сделано, наверняка в gentoo тоже подобное есть.

Любопытно. Испытаем.

Ну наконец то.

Подписей не было потому что кое кто из разрабов считал что простота важнее безопасности. Наконец то его угомонили блджад. И вообще что то в арчике за последние пол года случилось много положительных изменений. Радостно за любимый дистр.

>тебе манифеста с контрольными суммами мало чтоли?

В арчевских PKGBUILD'ах тоже это есть, но они что-то ещё придумали. Или это они только для бинарных пакетов?

Кстати, может кто-нибудь объяснять, в чем профит подписывания? Если мейнтейнеру дали доступ к репозиторию, то дали и ключ для подписи. А если нет, то у него нет возможности подсунуть другой пакет.

>Или это они только для бинарных пакетов?

Именно. Как в дебах и рпмках.

И вообще что то в арчике за последние пол года случилось много положительных изменений.

Для не арчеводов огласи список, пожалуйста.

Господа, скажите, люди, который обсуждают подписи пакетов в Генте - гентушники, или это бубунтоиды пришли потроллить? бред какой-то несут

Насчёт подписей. Как-то на джаббер-конфе юниксфорума один гентонелюбитель указал на то, что в Генте нет штатного механизма контроля целостности собранных пакетов, что очень актуально для сервера. То есть, нужно что-то типа подписей, но подписи иного рода - после сборки пакета emerge делает хэш для бинарников и запоминает, чтобы потом можно было запустить программу проверки.

хеши в манифесте, аж целых три разных.

freetype-2.4.6.tar.bz2 RMD160 SHA1 SHA256 size ;-) ... [ ok ]

Защита от взлома хранилища пакетов и/или его зеркал.

ebuild pgm-1.1.1.ebuild manifest

мне больше интересно, что с aur будет. Самоподписанные при сборке или как ?

>Кстати, может кто-нибудь объяснять, в чем профит подписывания? Если мейнтейнеру дали доступ к репозиторию, то дали и ключ для подписи. А если нет, то у него нет возможности подсунуть другой пакет.

Эта проблема не решается подписями.

Подписи помогают убрать проблемы на зеркалах, на которых левые люди могут положить левые пакеты. Такое, кстати, вполне вероятно, и тут подписи пригодятся.

> Чтобы какой-нибудь мужик-по-середине не мог подменить нормальные пакеты, пакетами с какой-нибудь малварью.

Да это я понимаю, но думаю, что вероятность такого случая близка к нулю

мне больше интересно, что с aur будет.

А что с ним должно быть? Помойкой был, помойкой останется, дисклеймер никуда не денется.

>> Придумать-то придумали, но непонятно зачем.

Чтобы какой-нибудь мужик-по-середине не мог подменить нормальные пакеты, пакетами с какой-нибудь малварью.

Что мешает мужику-по-середине подписать пакеты своей подписью? Всеравно в репозитариях нет всего набора софта, нужного пользователю, и он вынужден ставить из сторонних. А в них либо подписи нет, либо открытый ключ надо прописывать, что геморно. Прощще тыкнуть на кнопку «всеравно установить пакет» и не заморачиваться.

В генте манифест подписывается, а в манифесте хеши исходников

>> новая функция подписи пакетов и репозиториев

Шёл 2011 год.

Ну теперь то pacman действительно лучший pm :) </thread>

Человеческий фактор и проблема доверия. Пусть лучше уж будет, чем не, механизм для определения того, можно ли доверять данном конкретному пакету. Люди, они такие — даже лучший друг может нож в спину вогнать, при определённых условиях.

как сообщают разработчики, пока полет нормальный.

«полет нормальный» - пионерская фраза (в худшем значении этого слова).

Жыли сто лет без подписей, внезапно стыдно стало. А ещё стали настройку сети НетворкМенеджером рекомендовать. А ещё... Это Арчлинукс всё ещё?

>Любые ошибки при сборке пакетов с помощью makepkg;

им теперь можно собирать пакеты?

им теперь можно собирать пакеты?

А когда было нельзя?

Наверно ему кто то запрещал.

то есть pkgbuild ы из аура?

> скопрометировать

ну ты понел

И их можно собирать и если нужно можно пересобрать pkgbuild основных пакетов.

как?

makepkg?

Не арчеводы могут сходит на главную дистра и глянуть в раздел новости.

Ага, вспомни завихрения с vsftpd думаешь если бы была возможность подменить не исходники которые легко спалить по чексумме, а пакеты на репах, атакующий не воспользовался бы этим?