Тестирование pacman 4.0-RC1, а также новая функция подписи пакетов и репозиториев Archlinux

Арчеводы придумали подписывать пакеты. Ну, здорово, конечно - еще немного, и начнут придумывать и другие фичи из RPM.

Надеюсь до этого не дойдет. Они вроде собираются ещё транзакции сделать, но это сомнительная фича.

>другие фичи из RPM.

боже упаси

Этот конфиг при инсталляции заполняется установочным скриптом. А скрипт-то как раз старый.

Тебе ехать или шашечки нужны?

Я даже рад, что ментейнерам нет дела до работоспособности netinstall, тот кто после первой неудачной установки побежит жаловаться им не нужен. А кому нужен арч, найдет способ его установить. Это не убунта, чтобы удовлетворять запросы большинства.

>по факту образ netinstall сейчас нерабочий?

Почему? Загружаешься ещё раз с образа, монтируешь fs и правишь конфиг загрузчика, если он не правильно настроенный оказался.

Нууу :(
Только сегодня переставил, и тут нате.

Да, с новым ядром было минутное замешательство, но потом вспомнил-таки :D

тот кто после первой неудачной установки побежит жаловаться им не нужен.

Нелюбовь мантейнеров Арча к юзерам общеизвестна. Только Убунтузники не понимают, что им Арч не нужен, и продолжают пытаться, дураки. Ведь есть море другихдистров (ой, я не Генту имел...)

Странно, что эти изменения только вот сейчас наступают. Как-то внезапно. Арч явно хочет стать юзерфрендли.

Сиги в репе там начали ещё месяца два назад появляться.

Но, действительно, лучше поздно, чем никогда. :)

Таки да, старый остался, но мне это не принесло особой радости когда груб сказал что не может найти файл

Хорошо, наверное, только Арч от этого не юзабельнее или стабильнее не станет.А поэтому событие малозначимое.

>Когда уже в Генте будут подписывать пакеты?
что-то не распарсил
в генте ебыдлы - просто фичастые правила сборки
тарболы откуда льются видно - Manifest не просто так существует
чего тебе ещё надо?

>>Ибо эти архивы тянутся из разных мест.

4.2.

сам ты 4.2!

>Подписывать именно архивы с исходниками — совершенно не проблема, достаточно в ebuild добавить строчку с md5sum или чем-то подобным исходников.
сие и есть в манифестах
и не только исходников, а и всех файлов применяемых для сборки и установки пакета

>Сиги в репе там начали ещё месяца два назад появляться.
арч выпускает свои сигареты? о_О
а как их курить? :3

>в генте ебыдлы - просто фичастые правила сборки

Их можно подменить вместе с манифестом при синхронизации дерева при man-in-the-middle.

чего тебе ещё надо?

Чтобы этой багофичи не было.

сам ты 4.2!

Это уже 5.2.

Тарболы качаются с одного зеркала. Если что-то сфейлит — берётся следующее зеркало. Если ни одно зеркало не сработало — качается с более-менее официального сайта. Так что в идеале они все скачаются с одного зеркала.

в идеале...
дык ты идеалист чоль? о_О
ман реальный мир!

>Их можно подменить вместе с манифестом при синхронизации дерева при man-in-the-middle.
лол
а кто мешает мне подменить файлы и подписи? :3

>с более-менее официального сайта.
это какие такие? о_О

>ман реальный мир!

У меня не скачивалось с первого зеркала только в двух случаях:

— совсем сдох ADSL-модем, при этом он разорвал соединение, естественно;

— после этого я сидел на диалапе, на нём часто останавливалась закачка.

Во всех остальных случаях у меня тарбол успешно скачивается с первого зеркала.

>а кто мешает мне подменить файлы и подписи?

Вот именно, буду я синкаться, а ты мне поменяешь ебилд и манифест. Поставлю я этот пакет, а у меня случится ‘rm -rf /usr’. Нужны подписи зеркал и использование SSL при rsync и HTTPS.

это какие такие?

Обычно это официальный сайт, но в случае gnome-window-applets это гном-лук ;).

4.2 - такое 4.2!
пруфы нужны?

я повторяю вопрос - кто мне помешает изменить файлы и подписи?

значит только там автор и выложил сабж
т.е. это официальная страничка проекта!

>пруфы нужны?

Давай свои пруфы, но УМВР.

я повторяю вопрос - кто мне помешает изменить файлы и подписи?

Я повторяю ответ — никто тебе не мешает, поэтому ты возьмёшь и поменяешь мне ебилд и манифест при синке. А если перейти на SSL, то у меня будет валяться public key зеркала, которым я смогу прочитать сертификат зеркала, но man-in-the-middle не сможет создать свой сертификат, потому что для этого ему нужен private key зеркала, который есть только на зеркале. Поэтому надо использовать SSL при синке и качании пакетов.

grep -L mirror /usr/portage/*/*/*.ebuild
и больше не обманывай меня!

стоять!
какой SSL?
речь шла про подписи пакетов!
тему не меняй!

>grep -L mirror /usr/portage/*/*/*.ebuild

То есть ты намекаешь, что с зеркала будут качаться только те пакеты, у которых в $SRC_URI явно оно указано? Возможно, потому что не все пакеты есть на зеркалах. Но в $SRC_URI всегда указывают сначала зеркало, потом официальный сайт (в другом порядке я не видел), поэтому я никого не обманываю.

>стоять!

Я уж посижу.

какой SSL?

Обычный, классная вещь. Кстати, может, уже есть зеркала на HTTPS?

речь шла про подписи пакетов!

Дык они не нужны, это слишком геморно. Это надо напрячь всех, чтобы паковали на своих сайтах подписанные пакеты, а не тарболы.

тему не меняй!

Имею право.

>Но в $SRC_URI всегда указывают сначала зеркало, потом официальный сайт
нет!

Возможно, потому что не все пакеты есть на зеркалах

вооот - начинаешь догонять

не имеешь права!
ибо «начали за здравие, кончили за упокой» - это говно!

Это специальные сиги для пацанов с соседнего раёна

>нет!

Я понимаю, что не обязаны, но других случаев я не видел, да и логично больше нагрузки дать на зеркало, а не на свой сайт.

ибо «начали за здравие, кончили за упокой» - это говно!

Но ведь подписи пакетов не нужны, SSL достаточно.

Я понимаю, что не обязаны, но других случаев я не видел

[ root@desktop ] megabaks # cat /usr/portage/dev-java/jvyamlb/jvyamlb-0.2.5.ebuild
# Copyright 1999-2010 Gentoo Foundation
# Distributed under the terms of the GNU General Public License v2
# $Header: /var/cvsroot/gentoo-x86/dev-java/jvyamlb/jvyamlb-0.2.5.ebuild,v 1.5 2010/01/03 21:16:23 fauli Exp $

EAPI=2
JAVA_PKG_IUSE="source test"
inherit java-pkg-2 java-ant-2

DESCRIPTION="JvYAMLb, YAML processor extracted from JRuby"
HOMEPAGE="http://code.google.com/p/jvyamlb/"
SRC_URI="http://jvyamlb.googlecode.com/files/jvyamlb-src-${PV}.tar.gz"
LICENSE="MIT"
SLOT="0"
KEYWORDS="amd64 ~ppc x86 ~amd64-linux ~x86-linux ~x86-solaris"
IUSE=""

CDEPEND="dev-java/bytelist:0
	dev-java/jcodings:0
	dev-java/joda-time:0"

RDEPEND=">=virtual/jre-1.4
	${CDEPEND}"

DEPEND=">=virtual/jdk-1.4
	test? ( dev-java/ant-junit )
	${CDEPEND}"

JAVA_ANT_REWRITE_CLASSPATH="true"
EANT_GENTOO_CLASSPATH="bytelist jcodings joda-time"

java_prepare() {
	rm -fv lib/*.jar || die

	# Don't do tests unnecessarily.
	sed -i 's:depends="test":depends="compile":' build.xml
}

src_install() {
	java-pkg_newjar lib/${P}.jar
	use source && java-pkg_dosrc src/*
	dodoc CREDITS README || die
}

src_test() {
	ANT_TASKS="ant-junit" eant test
}
[ root@desktop ] megabaks #

>SRC_URI="http://jvyamlb.googlecode.com/files/jvyamlb-src-${PV}.tar.gz"

Тут вообще зеркала нет. Читай внимательнее:

Но в $SRC_URI всегда указывают сначала зеркало, потом официальный сайт (в другом порядке я не видел), поэтому я никого не обманываю.

в другом порядке

То есть сначала официальный сайт, потом зеркало. Такого не видел.

Зная простоту makepkg не думаю что подписывать будет сложно, видимо надо будет прописать путь к сертификату а дальше как обычно. Не вижу проблем вообщем. Тем более есть разница между ssl(который уже ломанули) соединением и отдельно подписанными пакетами. Их хоть на флешке неси, они всегда заверены.

>Но ведь подписи пакетов не нужны, SSL достаточно.
да?
вспомним беседу (сокращённо)

Когда уже в Генте будут подписывать пакеты?

тарболы откуда льются видно - Manifest не просто так существует

чего тебе ещё надо?

Их можно подменить вместе с манифестом при синхронизации дерева при man-in-the-middle.

а кто мешает мне подменить файлы и подписи? :3

и тут смена темы

Вот именно, буду я синкаться, а ты мне поменяешь ебилд и манифест. Поставлю я этот пакет, а у меня случится ‘rm -rf /usr’. Нужны подписи зеркал и использование SSL при rsync и HTTPS.

та-дам!
определись уже!
то ему подписи пакетов подавай, то сразу же они говно и ему нужны подписи зеркал

я ответил на утверждение

других случаев я не видел

других

а не «наоборот» и не «в другом порядке»

тяните дерево из гита и никто вас не надурит.

>я ответил на утверждение

Под другими я имел в виду именно «наоборот», потому что я до этого об этом говорил.

то ему подписи пакетов подавай, то сразу же они говно и ему нужны подписи зеркал

Считай, что убедил меня, что подписи пакетов не нужны ;). Хотя анонимус выше предложил способ нормально подписывать пакеты.

>тяните дерево из гита

Как настроить, чтобы это делал ‘emerge --sync’?

Там еще в списке коммитов присутствует пара записей про pkgdelta. Т.е. будут дельта-пакеты?
Кто следит за разработкой pacman более внимательно - подскажите. =)

Так такая фича в пакмане уже давно.

Хм, понятно. Как-то я это пропустил, значит. =)

Да, а вики жжет по поводу дельта-пакетов.
https://wiki.archlinux.org/index.php/Deltup

Последнее предложение в английской версии страницы - на русском. =)

>Всеравно в репозитариях нет всего набора софта, нужного пользователю, и он вынужден ставить из сторонних.
Вообще-то, нет. В основных репозиториях — практически весь софт, остальной добивается ауром, который (сюрприз) является веб-сервисом без каких-либо зеркал. А пкгбилды в ауре тянут пакеты напрямую от разработчиков.
В общем, все зеркала и все репозитории покрыты.

делается же и без него.в моём случае было так. 1.идём в grub command line 2.расскаываем ему про новый конфиг который menu.lst.pacnew 3.правим его (т.к. boot у меня в корневом разделе то правился root, путь к ядру и initrd) 4.загружаемся.

> Кстати, может кто-нибудь объяснять, в чем профит подписывания? Если мейнтейнеру дали доступ к репозиторию, то дали и ключ для подписи. А если нет, то у него нет возможности подсунуть другой пакет.

в том что ты седишь дома с ноутбуком, подключенном к Ethernet-интернету.. и обновляешь свой арч...

...и вдруг оказывается что в подъезде хакер-вася — перекусил твой Ethernet-провод от интернета и пустил интернет через свой мини-сервер (на основе перепрошитого dir-320) , и тебе на компьютер закинул через механизм обновления — вирусный пакет

этоже вообще ЭЛЕМЕНТАРНО провести такую махинацию! :-)

user_id_68054

в том что ты седишь дома с ноутбуком, подключенном к Ethernet-интернету.. и обновляешь свой арч...

...и вдруг оказывается что в подъезде хакер-вася — перекусил твой Ethernet-провод от интернета и пустил интернет через свой мини-сервер (на основе перепрошитого dir-320) , и тебе на компьютер закинул через механизм обновления — вирусный пакет

этоже вообще ЭЛЕМЕНТАРНО провести такую махинацию! :-)

А ключ как проверяется? Хакер вася может подменить собой сервер ключей и подписать свой пакет.

> Тебе ехать или шашечки нужны?

Это не убунта, чтобы удовлетворять запросы большинства.

Какое большинство? Обновить ядро так, чтобы не было косяка при нетинсталле - это в порядке вещей должно быть, а не «одолжение» мантейнеров. Нахрена они вообще тогда?