The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Arch Linux по умолчанию включена проверка цифровых подписей пакетов

04.06.2012 21:28

Разработчики дистрибутива Arch Linux уведомили пользователей о включении по умолчанию функции проверки достоверности источника пакетов на основании цифровых подписей начиная с выпуска пакетного менеджера pacman 4.0.3-2. Поддержка проверки пакетов по цифровой подписи была добавлена в дистрибутив ещё полгода назад, но до настоящего момента данная функция не была включена по умолчанию из-за того, что процесс создания цифровых подписей для всех пакетов потребовал времени.

Указанная возможность позволяет гарантировать, что устанавливаемый из репозитория пакет не был подменён и получен в том виде, в котором его изначально подготовили разработчики, что особенно полезно при установке пакетов с произвольных зеркал. Примечательно, что патч с реализацией проверки цифровых подписей пакетов в pacman был представлен в 2008 году, на доработку и интеграцию данного патча, а также на подготовку инфраструктуры, ушло четыре года.

После установки обновления с pacman-4.0.3-2, пользователю будет предложено запустить команды:


   pacman-key --init
   pacman-key --populate archlinux

после выполнения которых будет создано локальное хранилище ключей и загружены все необходимые проверочные ключи, в том числе пять основных публичных ключей, используемых для подтверждения валидности пакетов Arch Linux. В процессе импорта ключей с целью предотвращения подмены ключей в процессе загрузки программа предложит сверить хэши ключа с хэшами опубликованными на официальном сайте. Управление верификацией пакетов осуществляется через директиву SigLevel в файле конфигурации pacman.conf.

  1. Главная ссылка к новости (http://www.archlinux.org/news/...)
  2. OpenNews: В Arch Linux пакет udev будет заменён на systemd-tools
  3. OpenNews: Дистрибутиву Arch Linux исполнилось 10 лет
  4. OpenNews: В Arch Linux появилась поддержка цифровых подписей пакетов
  5. OpenNews: Релиз дистрибутива Arch Linux 2011.08.19
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/34005-archlinux
Ключевые слова: archlinux, package, verify, pacman
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, kombat (ok), 21:34, 04/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    махнув не глядя, обновил пакман)
     
     
  • 2.14, Аноним (-), 23:34, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вот так большинство и сделает. А еще потом скрипт спросит, что есть вон какие-то локальные непонятные ключи, подписать их? А а откуда я знаю, что это за ключи? Конечно подписывай - главное чтоб все работало.
    Откуда безопасности взяться если человеку надо думать и принимать решения, а ему не хочется да и инфы нету под рукой?
     
     
  • 3.20, Аноним (-), 00:24, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В АрчеВике есть всё
     
     
  • 4.38, Aceler (ok), 23:05, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Выкладывать хеши ключей на вики — это пять!!

    Или ты не это имел в виду?

     
  • 3.28, А (??), 10:55, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    можно свериться с этим http://www.archlinux.org/master-keys/
     

  • 1.4, ВовкаОсиист (ok), 22:21, 04/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Арч рулит, я надеюсь те ключи не по пицот метров весят? А то мне жопорезом их тянуть %)
     
     
  • 2.26, rshadow (ok), 09:45, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Арч не рулит, он пытается догнать
     
     
  • 3.31, Денис (??), 14:57, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Арч не рулит, он пытается догнать

    Кого например ?

     
     
  • 4.32, szh (ok), 15:34, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    цифровая подпись пакетов была у Redhat и у Suse более 10 лет назад, как подсказывает гугл у Ubuntu с рождения и у Debian 10 лет назад.
     
  • 4.40, Аноним (-), 01:24, 06/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Кого например ?

    Всех кто юзал пакетные манагеры на основе rpm и deb пакетов :)

     
  • 4.46, Анином (?), 03:29, 08/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Например обезьян дрочащих на безопасность. (с) Линукс наш Торвальдс
     

  • 1.5, Вернат (?), 22:24, 04/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а что скажете о opensuse Tumbleweed ?
     
     
  • 2.9, Виндус (?), 23:12, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А чего про него надо говорить?
     
     
  • 3.17, Вернат (?), 23:39, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    кто юзает его как альтернативу Арчу по части роллинг релиза
     
     
  • 4.19, ВовкаОсиист (ok), 00:02, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    там пакеты более старые чем в арче, видимо тестируют они их дольше.
     
     
  • 5.21, Вернат (?), 01:21, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ну они и позиционируют что это срез стабильных пакетов
     
  • 4.43, Виндус (?), 01:57, 06/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почему как альтернативу ? Подключай репу и пользуйся. В основном всё работает без проблем.
     
     
  • 5.44, Вернат (?), 14:06, 06/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да, четвертый день - полет нормальный. Ждал вдруг кто напишет про подводные камни если они есть
     
     
  • 6.45, Виндус (?), 01:03, 07/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > да, четвертый день - полет нормальный. Ждал вдруг кто напишет про подводные
    > камни если они есть

    Надо просто перед обновлением просматривать список обновляемых пакетов, бывает иногда, особенно когда новое "ведро" в репы положат, что не все "ведёрные" пакеты обновляются сразу, тогда лучше день обождать. А с остальными пакетами я лично проблем вообще не замечал.

    Коротко говоря: "Лучше день потерять, а потом за пять минут долететь"(Ц) Всё вкусное без тебя всё равно не съедят.

     
  • 2.15, Аноним (-), 23:38, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А причём здесь он? Цифровые подписи к RPM-пакетам всегда были, и opensuse Tumbleweed здесь ничем не выделяется. Об opensuse Tumbleweed скажу то, что когда вышла версия дистрибутива 12.1, у меня неожиданно пропал репозиторий Tumbleweed для openSUSE 11.4. А обновляться я не хочу из-за Gnome 3 по-умолчанию. Поэтому давно не видел.
     
     
  • 3.16, Вернат (?), 23:39, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    теперь то там прописана ссылка на current а не на версию
     
  • 3.24, Nxx (ok), 09:01, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так не обновляй Гном. Делов-то
     
     
  • 4.33, Вернат (?), 15:37, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Оо, Вы! :)   я на кедах сижу. И вообще просто поинтересовался
     

  • 1.6, Аноним (-), 22:37, 04/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Долго они ковырялись.
     
  • 1.12, Аноним (-), 23:21, 04/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Шел 2012 год.
     
     
  • 2.13, sdgs (?), 23:22, 04/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А раньше не было?! О_о
     

  • 1.22, EUGENE (?), 01:22, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Отключите проверку цыфровых подписей в /etc/pacman.conf, да и спите себе спокойно, если вам эта функциональность не требуеться!
     
  • 1.23, Тот самый аноним (?), 06:40, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Вендор лок, же!
     
     
  • 2.41, Аноним (-), 01:29, 06/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Вендор лок, же!

    И кто на кого лочится? Пингвин это вам не виндус, кто угодно может сам себе ключ выписать нахаляву. И заинсталлить. Просто это ремотно и без административных прав как-то не очень удобно делать, что должно порадовать хаксоров и прочих MITMов лишний раз ;)

     

  • 1.27, Sergey722 (ok), 10:11, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А что теперь с АУРом? Надо добавлять свой ключ и подписывать пакеты им?

    P.S.: Новость позитивная, а то даже как-то неприлично... вроде бы дистр для тру линуксойдов, а с подписыванием пакетов дела как в каком-то PCLinuxOS для домохозяек.

     
     
  • 2.39, Aceler (ok), 23:07, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что теперь с АУРом? Надо добавлять свой ключ и подписывать пакеты
    > им?
    > P.S.: Новость позитивная, а то даже как-то неприлично... вроде бы дистр для
    > тру линуксойдов, а с подписыванием пакетов дела как в каком-то PCLinuxOS
    > для домохозяек.

    facepalm.gpg

     

  • 1.34, Xasd (ok), 18:14, 05/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    когда ждать в Gentoo ? :) [подписанных ebuild'ов]
     
     
  • 2.35, Аноним (-), 18:40, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Подписанные ебилды, как и параллелизация при загрузке, не нужны. Так говорят разработчики Gentoo.
     
     
  • 3.36, Xasd (ok), 19:51, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Подписанные ебилды, как и параллелизация при загрузке, не нужны. Так говорят разработчики
    > Gentoo.

    но этоже както странно %) %)..

    как тогда мне узнать что, когда я делаю ''emerge --sycn'' -- то ebuild'ы заливаются именно из интнетов, а не от "хакера Васи" который подрубился в подъезде к моему ethernet-проводу ?

     
     
  • 4.37, добрый дядя (?), 20:22, 05/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > как тогда мне узнать что, когда я делаю ''emerge --sycn'' -- то ebuild'ы заливаются именно из интнетов, а не от "хакера Васи" который подрубился в подъезде к моему ethernet-проводу?

    принцип неуловимого джо в действии ^_^

     
  • 3.42, Аноним (-), 01:30, 06/06/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Подписанные ебилды, как и параллелизация при загрузке, не нyжны.

    Хм... надеюсь, кто-нить из MITMов оценит и воткнет на DNS ссыль на себя. Где дакие же дебил,ды, но - с немного доработанным функционалом. Как будто гентушники еще и читают чего они там компиляют...

     
     
  • 4.47, Анином (?), 03:53, 08/06/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Судя по речевому обороту.. ты сюда с xakep.ru пришел? Время высирать б кем ты.
     
  • 2.48, Аноним (-), 14:25, 29/06/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Читайте документацию, господа. Давно есть. http://www.gentoo.org/doc/en/handbook/handbook-amd64.xml?part=2&chap=3#webrsy
    Как можно использовать дистрибутивы, где пакеты/порты не подписываются, для меня загадка. Даже в домохозяечном убунту с рождения есть. В очередной раз показывает, что гентушникам/арчеводам их дистрибутивы не для работы, а для игр.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру