В пакетном менеджере APT 2.9.15 прекращено использование apt-key

29.11.2024 07:39

Опубликован выпуск инструментария для управления пакетами APT 2.9.15 (Advanced Package Tool). Ветка 2.9.x является экспериментальной и используется для разработки функциональности будущей стабильной версии APT 3.0, которая после стабилизации будет интегрирована в Debian Testing и войдёт в следующий значительный релиз Debian, а также будет добавлена в пакетную базу Ubuntu.

Ключевым изменением в новой версии стало окончательное прекращение использования утилиты apt-key для управления ключами, применяемыми для верификации цифровых подписей пакетов. Утилита apt-key несколько лет назад была объявлена устаревшей в связи с уходом от старой модели проверки целостности пакетов, в которой использовалось общее хранилище ключей (/etc/apt/trusted.gpg) и отсутствовала привязка ключей к репозиториям, т.е. ключ, добавленный для какого-то стороннего репозитория, подходил для проверки пакетов во всех репозиториях. Пришедший на смену apt-key метод работы с ключами подразумевает разделение хранилищ ключей для каждого репозитория (/etc/apt/trusted.gpg.d/ или /etc/apt/keyrings/).

Другие изменения:

В список путей для вызова gpg добавлена написанная на языке Rust утилита gpg-sq, принимающая те же аргументы, что и утилита gpg, но имитирующая её работу через Sequoia, реализацию OpenPGP на языке Rust. Вызов gpg-sq является более приоритетным, чем gpg, т.е. для использования gpg-sq вместо gpg достаточно установить соответствующий пакет.
Обеспечена привязка типов ключей к расширениям файлов: расширение ".asc" связано с ascii-armored ключами, ".gpg" - всегда с бинарными ключами, а все остальные файловые расширения вызовут ошибку "The key(s) in the keyring ... are ignored as the file has an unsupported filetype". Например, при использовании файла с ключом "/etc/apt/keyrings/winehq-archive.key", его нужно будет переименовать в "/etc/apt/keyrings/winehq-archive.gpg" и исправить путь в файле в "/etc/apt/sources.list.d/".
Многие функции переведены на использование класса "std::string" вместо "const char *" (определённый в стандарте С++17 класс std::string_view, более эффективно работающий со строками за счёт использования ссылок на существующие данные и исключения лишнего копирования данных, пока не задействован в коде).
Реализована поддержка самостоятельной проверки хранилищ ключей (keyring) и выполнения операции dearmor (преобразование ключа в формате ASCII-armored в бинарный формат) без обращения к apt-key.
Добавлена функция Base64Decode.

исправить +13 +/–

Автор новости: Аноним

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/62312-apt

Ключевые слова: apt, debian

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (54)

1.1, Аноним (1), 08:28, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
Давно пора

1.2, Аноним (2), 08:43, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	–10 +/–
А никого не смущает что целый пакетный менеджер, который в дистре запускается рано или поздно в каждой системе пишут какие-то му не васяныи ещё пытаются приплести Раст. Чтобы самому это собрать было сложнее и при сборке Раст принес что-то что хотят создатели раста?

2.4, Карлос Сношайтилис (ok), 08:53, 29/11/2024 [^] [^^] [^^^] [ответить]	+14 +/–
Смущает только твой бессвязный комментарий, а не вспомогательная утилита на расте, наличие которой зависит от желания пользователя

3.9, Аноним (2), 09:17, 29/11/2024 [^] [^^] [^^^] [ответить]	–1 +/–
За этим дело не встанет. Сегодня опциональная. А завтра добровольно принудительная.

4.20, Аноним (20), 11:25, 29/11/2024 [^] [^^] [^^^] [ответить]

+4 +/–

> А завтра добровольно принудительная.

Как страшно жить!

Правильно: разрабы *бесплатной* оси должны лично консультироваться с каждым использующим ее дармоедом по поводу технических решений!

5.30, Аноним (2), 14:01, 29/11/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Так зачем же они делают свою бесплатную ось пусть делают платную. А с лопата ты давай сам.

6.51, Anonymous1 (?), 18:28, 30/11/2024 [^] [^^] [^^^] [ответить]	+/–
Запрети им!

4.41, Аноним (-), 14:51, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
Значит делай сам! Вон "разработчики" Дивана выпили системд, значит и ты сможешь. Мы всем опеннетом в тебя верим и поддерживаем твои начинания!

2.8, Аноним (8), 09:15, 29/11/2024 [^] [^^] [^^^] [ответить]	–3 +/–
Раст даже если не был, но он есть и будет есть.

3.10, Аноним (2), 09:17, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Это-то и пугает.

2.17, Аноним (20), 11:19, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
> Чтобы самому это собрать было сложнее Накой тебе его самому собирать? Тем более когда бинари есть в репе? Тебе делать нечего?

3.33, Аноним (2), 14:03, 29/11/2024 [^] [^^] [^^^] [ответить]	–2 +/–
На кой мне твоя репа если на торрентах я могу бинарь целой ос сразу скачать. Зачем тогда Линукс?

4.46, Аноним (20), 17:42, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
> На кой мне твоя репа если на торрентах я могу бинарь целой ос сразу скачать. То есть, Линуксом и apt ты не пользуешься, но наличие в нем Раста тебя крайне возмущает?

2.24, freehck (ok), 13:01, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
> А никого не смущает что целый пакетный менеджер, который в дистре > запускается рано или поздно в каждой системе пишут какие-то му не > васяныи ещё пытаются приплести Раст. С точки зрения эксплуатации -- абсолютно всё равно, на каком языке написан инструмент, если он обеспечивает и поддерживает стабильный интерфейс взаимодействия с ним.

3.44, Аноним (44), 17:30, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
С точки зрения службы эксплуатации, мы разговаривает и пишем только на одном языке: матерном.

2.52, Аноним (-), 20:29, 30/11/2024 [^] [^^] [^^^] [ответить]

+/–

> Чтобы самому это собрать было сложнее и при сборке Раст принес что-то что хотят создатели раста?

Перечитай новость еще раз. Ты тормоз, Вася. Это так, compat для какой-то утилсы косплеящей gpg но на хрусте. Юзать ее никто ессно не обязан.

А вон то с ключами - вообще позволит просто скопировать ключ в доверяемую диру. Без утилит мля.

1.3, Zenitur (ok), 08:45, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
Почему-то думал, что это убунтовская утилита. В Дебиане ни разу не пришлось запускать.

1.6, Аноним (6), 08:54, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
gpg - самая неудобная хрень на свете. Какой-то глобальный $GPG_HOME млять, нескриптующийся cli. Да-да, заскриптовать в принципе можно, но надо снаряжать экспедицию со свистоплясками вокруг gpg ephemeral home и прочими дикостями. Но на самом деле проще ssh-ключами все делать, или при помощи openssl, у которого ненаркоманский cli, в отличие от. Короче, все отказываются от gpg -- либо от его оригинальной наркоманской реализации, либо от самого концепта в целом. И это здорово.

2.7, мяв (?), 09:07, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
так от gpg никто не отказался в новости..

2.40, Аноним (40), 14:45, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Нет, makefilы и automake - на много порядков неудобнее.

3.54, Аноним (-), 20:31, 30/11/2024 [^] [^^] [^^^] [ответить]	–1 +/–
> Нет, makefilы и automake - на много порядков неудобнее. Менеджить ключи GPG через automake? Черт, я до такого даже и не додумался, эти мсье знают толк в извращениях!!

4.58, Аноним (58), 02:56, 01/12/2024 [^] [^^] [^^^] [ответить]	+/–
Я на GNU Make когда-то написал целую систему управления сертификатами. Step CA тогда не было, а easyrsa не мог то, что было нужно. И ничего, без малого десять лет проработала. А потом LE появился и всё это стало никому не нужно. А что, есть какие-то предрассудки на тему языка скриптования?

5.61, Аноним (61), 16:19, 01/12/2024 [^] [^^] [^^^] [ответить]	+/–
Да, есть. Python куда лучше. Даже в том виде, в каком он был в 1995 году.

6.65, Аноним (58), 16:48, 02/12/2024 [^] [^^] [^^^] [ответить]	+/–
Может и лучше, но кода пришлось бы писать больше.

2.53, Аноним (-), 20:30, 30/11/2024 [^] [^^] [^^^] [ответить]	+/–
> Короче, все отказываются от gpg -- либо от его оригинальной наркоманской реализации, > либо от самого концепта в целом. И это здорово. Кроме того что сабж от ключей не отказывался - и кладет их в воон ту диру из новости. Это как раз хорошо, правильно и вполне удобно. И чем вон то лучше будет - видимо "чем грузины!" как в анекдоте.

2.57, Аноним (57), 21:09, 30/11/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Нормально он скриптуется, не гони. Другое дело, что обратная совместимость в машинном выхлопе и/или поддерживаемых опциях запуска - да, страдает, приходится проверять на нескольких выпусках.

2.63, WhiteWind (??), 09:59, 02/12/2024 [^] [^^] [^^^] [ответить]	+/–
> openssl, у которого ненаркоманский cli Хорошая шутка, давай ещё

1.13, Аноним (13), 09:25, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Очередная unix утилита медленно, но верно превращается в комбайн. Потому что так "проще" ... в начале, а в конце будет как всегда с комбайнами - большой, тяжёлый, глючный, никто не знает как он в целом работает надо будет срочно переписывать, а всего-то лишь не надо превращать утилиты в комбайны.

2.14, Аноним (2), 09:31, 29/11/2024 [^] [^^] [^^^] [ответить]	–1 +/–
Как тогда заработать на поддержке? Комбайну всегда нужен комбайнер. А матыге нет.

2.18, Аноним (20), 11:21, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
> а всего-то лишь не надо превращать утилиты в комбайны. Интересно, почему раньше никто не додумался до такого простого и эффективного решения?

2.23, Bottle (?), 12:26, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Оказывается, что я реальном мире, а не обосранных фантазёров-вимеров, людям нужно больше функций в ПО, а не меньше. И городить ненадёжные конструкции из тысячи утилит, которые сломаются, если заменить одну на другую, никто не хочет.

3.35, Антилопатник (?), 14:06, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
А ещё людям нужна более быстрая лошадь вместо машины.

1.15, Аноним (2), 09:33, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
Короче все идёт к тому что не будет такой опции установить приложение компании будет вместо тебя решать что тебе нужно на основе ИИ.

2.21, eugener (ok), 11:33, 29/11/2024 [^] [^^] [^^^] [ответить]	–1 +/–
> вместо тебя решать что тебе нужно на основе ИИ Только установил убунточку — а ИИ тебе сразу и снап выпилил, и репу файрфокса с packages.mozilla.org подключил, всё как ты любишь.

3.27, Аноним (2), 13:59, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
И понизил тебе социальный рейтинг потому что чего удумал сторонний браузер ставить.

3.59, Аноним (-), 04:24, 01/12/2024 [^] [^^] [^^^] [ответить]	+/–
>> вместо тебя решать что тебе нужно на основе ИИ > Только установил убунточку — а ИИ тебе сразу и снап выпилил, и > репу файрфокса с packages.mozilla.org подключил, всё как ты любишь. Так вон же тебе - демон оптимизации от редхата. Оптимизирует круто, даже рута беспарольного вот подогнал, su и sudo можно теперь стереть нфиг! :)

1.16, Аноним (16), 10:52, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Вот только операции через apt-key с добавлением ключей были удобней, чем текущие через dearmor.

2.29, Аноним (40), 14:01, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
Ну там есть встроенная поддержка asc-ключей. Только по спеке - ключи должны быть бинарными. ASCII-armored ключи могут уплыть в любой момент. Только одно не понятно - нафига ломать совместимость, прибивая гвоздями к расширению, если тип ключа можно легко детектировать по содержимому файла. Ежели же ломать совместимость, то предпочтительнее просто упразднить поддержку ascii-armored ключей полностью, а не городить цирк с детектом расширения. А то бинарные ключи в соответствии со спекой сломали, а обёрнутые в нарушение спеки с base64 -- оставили.

3.50, нах. (?), 11:45, 30/11/2024 [^] [^^] [^^^] [ответить]

+/–

> одно не понятно

чего тут непонятного - хрустоподелка такое не умеет. Как обычно.
Поискали-поискали - нет такого крейта, представляешь? Что жи делать? Правильно - раз нет, значит и быть не может.

2.55, Аноним (-), 20:34, 30/11/2024 [^] [^^] [^^^] [ответить]	+/–
> Вот только операции через apt-key с добавлением ключей были удобней, чем текущие через dearmor. Удобнее чем что? Чем копирование gpg ключа в диру, как все нормальные люди уже сто лет и делали?

1.19, Аноним (19), 11:24, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Слишком сложно: все эти ключи от репозиториев, пакеты, пересборка и прочая лабуда. Дистрописатели должны сделать всё для домохозяек и гуманитариев, и вот тогда бабло польётся рекой к ним, как и майкрософт.

2.31, Аноним (40), 14:01, 29/11/2024 [^] [^^] [^^^] [ответить]	+2 +/–
Да, установка пакетов по аккаунту через привязку мобильного телефона!

1.26, nume (ok), 13:28, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А downgrade они не хотят реализовать как в arch например или ненужОн?

1.32, Аноним (32), 14:02, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>В список путей для вызова gpg добавлена написанная на языке Rust Это тот же самый дебиан, не осилившйи собрать утилиты для bcachefs или какой-то другой?

2.60, Аноним (-), 04:27, 01/12/2024 [^] [^^] [^^^] [ответить]

+/–

>>В список путей для вызова gpg добавлена написанная на языке Rust
> Это тот же самый дебиан, не осилившйи собрать утилиты для bcachefs или
> какой-то другой?

Видимо, эта штука не требовала постоянного "скачайте ночнушку!" :)

И вы уж извините но требовать для ФСовских утилсов - экзотичный ЯП да еще при том именно распоследней версии - это маразм в терминальной стадии какой-то. Впрочем гражданин на минуточку поймал баню в майнлайне на цикл 6.13, как раз есть время чтобы подумать что именно он делал не так.

Spoiler: не, прод в ТАКОМ виде нужен только ему и его ср@ной кошке. Остальным терпеть какие-то неудобства ради ТАКОГО - нафиг надо.

1.36, Аноним (40), 14:06, 29/11/2024 [ответить] [﹢﹢﹢] [ · · · ]	+/–
-rwxr-xr-x 1 root root 11M ноя 25 22 29 usr bin gpg-sq -rwxr-xr-x 1 root root ... большой текст свёрнут, показать

2.37, Аноним (40), 14:12, 29/11/2024 [^] [^^] [^^^] [ответить]

+/–

А, да, забыл, gpg всё-таки не совсем монолит, и таки использует shared-либы.

-rw-r--r-- 1 root root 167K сен 16 19:06 /usr/lib/x86_64-linux-gnu/libgpg-error.so.0.37.0
-rw-r--r-- 1 root root 459K ноя 13 19:47 /usr/lib/x86_64-linux-gnu/libgpgmepp.so.6.21.0
-rw-r--r-- 1 root root 352K ноя 13 19:47 /usr/lib/x86_64-linux-gnu/libgpgme.so.11.33.0

inb4: жалкие оправдания вида "заварите в чай свою кору дуба"

2.38, Аноним (38), 14:23, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
Статическая линковка как раз имеет смысл в случае базовых утилит управления дистра.

3.39, Аноним (40), 14:34, 29/11/2024 [^] [^^] [^^^] [ответить]	+1 +/–
Имеет смысл иметь полностью статически слинкованный par2 в составе базовой систе... большой текст свёрнут, показать

4.42, Аноним (-), 14:57, 29/11/2024 [^] [^^] [^^^] [ответить]

–1 +/–

Ваше мнение очень важно для нас, оставайтесь на линии (с)

> Напоминаю: у Rustа гигантские деревья нерелевантных зависимостей, каждая из которых может содержать код, исполняемый во время сборки.

Звучало бы очень страшно, если бы не было примеров бекдора ХЗ прямо из официальной репы.
Но выход есть - переписать все эти либы на раст, положить в крейты и пусть авторы подписывают своим паспортом или через OpenID.
Тогда цепочки поставок станут надежными!
Правда будут вопить всякие ананоны и борцуны за щвободьность.

3.43, freehck (ok), 15:36, 29/11/2024 [^] [^^] [^^^] [ответить]	+/–
> Статическая линковка как раз имеет смысл в случае базовых утилит управления дистра. Это трейдофф между скоростью доставки обновлений безопасности и скоростью восстановления системы в случае аварии. И обновления нужны на порядок чаще, так что имеет смысл по умолчанию линковать именно динамически, и лишь для особых случаев каких-либо специфических систем -- отдельно ставить статически слинкованные бинари типа того же busybox-а.

4.56, Аноним (-), 20:37, 30/11/2024 [^] [^^] [^^^] [ответить]

+/–

> Это трейдофф между скоростью доставки обновлений безопасности и скоростью
> восстановления системы в случае аварии.

Кого волновало это - делали системные образа, снапшоты и прочий редеплой системы. Много времени это все не занимает и через пару минут хост как новый (или в known good состоянии, если локалхост).

При чем тут статическая линковка - черт ее знает. Представляете, сломаться может и бинарник пакетника или его конфигурация или данные. И вот тут обидно бывает, особенно в первом случае.

У меня кроме всего прочего был 1 случай когда сдох вот именно бинарник пакетника. Система как живая - но при любой операции с пакетом все обламывается. Какая разница - статический он или динамический, если бинарник побился?

5.62, Аноним (61), 16:21, 01/12/2024 [^] [^^] [^^^] [ответить]	+/–
Просто качаем wgetом и извлекаем из архива поверх ломанного... не?

5.64, freehck (ok), 10:58, 02/12/2024 [^] [^^] [^^^] [ответить]

+/–

>> Это трейдофф между скоростью доставки обновлений безопасности и скоростью
>> восстановления системы в случае аварии.
> Кого волновало это - делали системные образа, снапшоты и прочий редеплой системы.
> Много времени это все не занимает и через пару минут хост
> как новый (или в known good состоянии, если локалхост).

Да, в том числе. И потому смысла в статической линковке в современном мире не очень много. Другое дело, что так легче разрабатывать новые технологии. Все новые языки так или иначе начинают именно со статической линковки.

> При чем тут статическая линковка - черт ее знает.
> <...>
> Какая разница - статический он или динамический, если бинарник побился?

Ну это же старая тема. Если побился бинарь -- то сломался только бинарь. Если побилась библиотека или, упаси боже, ld-linux.so -- сломались все связанные бинари. Статическая линковка немного уменьшает поверхность повреждения.

Собственно, ваш собеседник как раз об этом речь и ведёт.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: