Команда Devuan просрочила основной ключ подписи репозиториев

У меня есть и несколько дебианов с системд и rc.local там к счастью не сломали. До того как внедрили системд я пытался более-менее культурно писать к кастомным сервисам init-скрипты а теперь просто сую весь автозапуск тупо в /etc/rc.local, потому что разбираться с этой помойкой смысла не вижу.

А вот хочу пакет собрать с демоном - уже rc.local явно не катит, в итоге так и забил пока что.

Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt

Зато systemd не пройдет! ;)

Хм, судя по разным признакам, новый ключ таки не совсем новый, а старый с исправленной датой истечения. Но я не знаю как это точно проверить

старый пакет

новый пакет

если так, то наверно был способ (не знаю какой) продлить ему эту дату и на локалхосте, без скачивания непроверенных файлов. Однако итоговый официальный способ обновиться, выложенный уже ближе к ночи вчера, этим пользоваться не пытается, всё так же предлагает ставить без проверки подписи. Хотя, из двух предложенных вариантов ОДИН (второй) хотя бы предполагает проверку хеша, но по сути всё так же опирается на доверие к сайтовому сертификату.

а ветераны хрюникс соизволили собрать новый установочный образ с исправленной версией apt только через 9 месяцев

А чё им париться-то? Донаты капают, пипл хавает.

Две или три мажорные версии

В которых аж целых 2 (или 3?) оригинальных пакета. Бедные вытираны юниха, они так надорвались от этой непосильной нагрузки что аж сертификат продуплили.

Devuan предназначен для предоставления возможности использовать альтернативные системы инициализации

Не ври - боженька сзади покарает. Альтернативные системы инициализации без проблем выбираются в Debian, цель баттхёртиана - ограничить пользователей в возможности выбора систем инициализации потому что его авторам не нравится то, какой выбор делают пользователи, если их не ограничивать.

Сентябрь горит.

Та нормально всё, кто-то завтыкал.

Та ваще проблем не вижу, сладкий хлебушек, пахучий, ещё тёплый - кушайте, продакшн только не обляпайте.

В системд немного не так работает.

Полагаешь у них есть чем это понять? Это ж вытираны юникса, у них всегда «можно было пробовать» вместо «я сделал».

1 апреля сообщение о взломе redhat'ом nonsystemd-дистрибутива, точно не шутка?

Ветераны, так понимаю, к успеху пришли.

Скажите, а вас юзерпик Рассел разрешил использовать или вы по своей инициативе?

Полтора пользователя этого «дистрибутива» негодуют

ключи это источник паразитического существования для бестолочи, которой удобно ничего не делать и драть за это много денег

Альтернативные системы инициализации без проблем выбираются в Debian

при этом отваливаются любые DE навороченнее какого-нибудь IceWM.

Ветераны, так понимаю, к успеху пришли.

А то! Можно покласть болт на пользователей и спокойно стричь донатики, залипая в тикток - быдло всё-равно схавает. При этом всю работу сделает Debian пока ты в потолок плюёшь - чем не успех-то?

Учитывая что я понятия не имею кто такой Рассел, то отчет очевиден.

Вероятно, товарищ намекал на чайник Рассела.

при этом отваливаются любые DE навороченнее какого-нибудь IceWM.

С чего бы это вдруг? Они работают через elogind точно так же, как и в Devuan.

Аааа... Я еще хотел ему написать что знаю пару Расселов, в том числе и Бертрана. Но про чайник не просек.

я и забыл уже, про что этот диван был

доверие - это не паразитизм

а что чексумма не достаточно доверительна ?

ключ - это не чексумма. Ключом закрывают и/или открывают.

вменяемой альтернативы шапке или космонавту, а уж тем более яблоку или некрософту нет совсем

Обычный Дебиан, без гордых стремлений полуддитствовать - чем не альтернатива? Арч - чем не альтернатива? Генту - чем не альтернатива? Ну, раз есть нужда в альтернативах. Вполне живы. Насколько сетевые структуры в принципе могут быть полноценной альтернативой так или иначе пирамидальным.

я понятия не имею кто такой Рассел

Не, так просто тебе соскочить с темы не удастся. Чайник верни на место.

Может слегка расходится с требуемой.

Совершенно верно. Без него за орбитой Марса стало совсем пусто.

Все это разбивается об эпопею с выпиливанием libsystemd0

Ну как бы это говорит скорее о том, какой системд зонд, а не о том, какие разработчики девуана тупые. Хотя бы потому, что apt remove systemd должно было быть достаточно.

то наверно был способ (не знаю какой) продлить ему эту дату и на локалхосте

Для продления его надо переподписать - а для этого нужен ЗАКРЫТЫЙ ключ.

Тут разве что вариант с откатом даты на локальной машине в прошлое. Но там может уже apt возмутиться(тут я не спец) - ядро например при сборке дико офигевает если дата изменения файлов на диске в будущем относительно часов самого ПК.

Чексумма удостоверяет что скачанный образ не был изменен в процессе скачивания - и всё. Хакир тебе выложит образ c rm -rf внутри и чексумму к нему - и ты об этом не узнаешь.

Подпись же удостоверяет, что скачанное было проверено тем, кто подпись поставил. И если она невалидная - значит караул. Естественно должны быть проверяемые способы валидации подписи - WoT, все дела. Но этим обычно мало кто из пользователей заморачивается(чексумму-то не все проверяют, пока на битый образ не натыкаются).

Поэтому нарушение цепочки доверия - это fail. И если б не повсеместный HTTPS - это был бы epic fail.

Очень ожидаемо от проекта который делается не «ради», а «вопреки».

цель баттхёртиана

Кастовать в каждую новость про sysvinit и devuan zabbal'a, чтобы он доказывал, какое это ненужно.

Тут разве что вариант с откатом даты на локальной машине в прошлое.

Это первое, что я попробовал - apt стало ругаться что у текущей репы в подписи стартовая дата действительности в будущем (аналогично как https ругается на сертификаты из будущего) и так же отказывалось работать. Пересечений, где стартовая дата уже не в будущем, а старый ключ ещё не просрочился - не было.

создавай через /etc/systemd/system/myservice.service :)

apt remove systemd должно было быть достаточно

Кому должно? С какого перепугу разработчики Debian должны обслуживать интересы недоумков, которые собственный ключ на ровном месте продолбать умудрились?

Поэтому нарушение цепочки доверия - это fail.

В данном случае это просто наглядная иллюстрация того, как долго разработчики баттхёртиана собирались стричь бабло с терпил. Тот факт, что до сих пор находятся желающие, которых можно остричь - стал сюрпризом даже для создателей этого пранк-дистрибутива.

Обычный Дебиан, без гордых стремлений полуддитствовать - чем не альтернатива?

Тем, что он идет по течению за красной шляпой и космонавтом и отличается лишь строчками в /etc/apt/sources.list от последнего.

Арч - чем не альтернатива?

Нестабильный, разваливающийся роллинг - это альтернатива на том же производстве? Вы серьезно?

Генту - чем не альтернатива?

Может быть тем, что ее тяжело обслуживать и некому?

Диван в таком виде не нужен

А в каком виде нужен?

Я когда серты генерю, то не мелочусь - ставлю сразу 2099 год

Кстати любопытно, а apt вообще CRL проверяет?

Нестабильный, разваливающийся роллинг - это альтернатива на том же производстве?

Зато поделие луддитов, продалбывающих ключи, и помимо баттхёрта знаменитых исключительно первоапрельскими «взломами» - это альтернатива конечно, ага :-D :-D :-D

Зато поделие луддитов, продалбывающих ключи, и помимо баттхёрта знаменитых исключительно первоапрельскими «взломами» - это альтернатива конечно, ага :-D :-D :-D

А где я утверждал, что это - альтернатива? Есть даже комментарий об обратном: Команда Devuan просрочила основной ключ подписи репозиториев (комментарий)

Дословно:

Это трагедия, которая лишний раз доказывает, что вменяемой альтернативы шапке или космонавту, а уж тем более яблоку или некрософту нет совсем. И от этого - страшно.

Причём тут CRL? У apt есть список доверенных ключей, он хранится локально. Какие ты туда положишь те и будут. Изначально список бутстрапится вместе с установкой системы, а потом меняется либо установленными пакетами (перед установкой проверяемыми теми ключами, которые уже есть) либо вручную администратором.

космонавтом и отличается лишь строчками в /etc/apt/sources.list от последнего.

Это не вина дебиана что убунта делает пересборки его тестовой ветки. Конечно, пересборки мало чем будут отличаться. И кроме убунты есть ещё куча дебианоподобных дистров.

Тем, что он идет по течению за красной шляпой и космонавтом и отличается лишь строчками в /etc/apt/sources.list от последнего.

Debian перешел на systemd -> Ubuntu перешла на systemd
Причина -> Следствие
Так что то, кто там в чьем течении идет не так очевидно

Кстати любопытно, а apt вообще CRL проверяет?

Он же не сам проверяет, OpenSSL наверное использует. А значит - проверяет.

Ещё один. Какой openssl, при чём тут это вообще? Речь не про соединение с сервером а про проверку подлинности скаченного файла. Качать его можно как угодно и откуда угодно, привязки к каким-то доверенным серверам там нет, можешь поднимать своё зеркало, всем его раздавать, и всё будет так же безопасно работать.

и отличается лишь строчками в /etc/apt/sources.list от последнего

Т.е. быть непохожим на других - это такая самостоятельная сверхценность, которая перевешивает функциональность и качество софта? :-)

Видите ли, вот есть у нас, допустим, ИП «Вкусножрищев» и предприятие сети «Корлеоне»: оба готовят пиццу пеппероне не отступая от канонического набора ингредиентов - однако может быть так, что у Вкусножрищева пеппероне оказывается куском неудобоваримого и сомнительно пахнущего шЫта, а у «Корлеоне» - таки хорошей, годной пиццей. А может быть и наоборот.

Различия важны в том, насколько хорошо готовят продукт разные команды, а не в том, что одна из них непременно должна класть в пиццу, скажем, исключительно фермерскую колбасу ручной работы из жертвенных поросят, выращенных под непрерывающееся пение гимнов Звездной Жабе на священных лугах Мискатоника.

Нет, можно и так, и даже ассортимент из стопицот видов пиццы, но какие-то из них не будут пользоваться популярностью и станут нишевым продуктом для десятка едоков и делать их будут только в единственной шаурмячной на вокзале в Кукуево, потому что в других местах они нафиг никому не нужны.

Ну вот есть Девуан - ну нужен он малочисленной группе луддитов, ну так и радуйтесь, оно у вас есть. А, ошибки в инфраструктуре… Ну так присоединяйтесь к команде единомышленников и исправляйте. А не нойте, что «пропал Калабуховский дом».

хакир может сделать, что угодно с чем угодно, подменить ключи, уц, пакет проверяющий подписи. А весь этот гемор вокруг постоянно протухающих ключей - бюрократический паразитизм.

В случае грамотно организованной системы - не может без предварительной компрометации либо твоего компа, либо компа с приватным ключём подписи.

А весь этот гемор вокруг постоянно протухающих ключей - бюрократический паразитизм.

Критикуя - предлагай. Существующая система криптографии неидеальна, это факт. Но другой у нас нет.