[devel] repo: release

[devel] repo: release

[Boris Savelev]

Привет!

Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release

Валидируется оно, как я понял, через vendors.list. Там надо прописать
key id, но как ключ попадает к пользователям? Что-то типа
/etc/apt/trusted.gpg.d/ я не наблюдаю...

Дополнительный вопрос: 21 век, а в release _только_ md5... доколе?)

-- 
Boris

Re: [devel] repo: release

[Gleb Fotengauer-Malinovskiy]

[-- Attachment #1: Type: text/plain, Size: 815 bytes --]

On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
> Привет!
> 
> Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
> ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release
> 
> Валидируется оно, как я понял, через vendors.list. Там надо прописать
> key id, но как ключ попадает к пользователям? Что-то типа
> /etc/apt/trusted.gpg.d/ я не наблюдаю...
Там используется кейринг /usr/lib/alt-gpgkeys .

> Дополнительный вопрос: 21 век, а в release _только_ md5... доколе?)
Будем надеяться, уже скоро.

-- 
glebfm

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]

Re: [devel] repo: release

[Boris Savelev]

19 июня 2017 г., 16:02 пользователь Gleb Fotengauer-Malinovskiy
<glebfm@altlinux.org> написал:
> On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
>> Привет!
>>
>> Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
>> ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release
>>

хорошо бы сразу нужные команды)


>> Валидируется оно, как я понял, через vendors.list. Там надо прописать
>> key id, но как ключ попадает к пользователям? Что-то типа
>> /etc/apt/trusted.gpg.d/ я не наблюдаю...
> Там используется кейринг /usr/lib/alt-gpgkeys .

а как туда попасть?
процедура такая же как для ключей разработчика? Баг на alt-gpgkeys?

>
>> Дополнительный вопрос: 21 век, а в release _только_ md5... доколе?)
> Будем надеяться, уже скоро.

Re: [devel] repo: release

[Nikolay A. Fetisov]

Здравствуйте!

В Пн, 19/06/2017 в 16:53 +0300, Boris Savelev пишет:
> 19 июня 2017 г., 16:02 пользователь Gleb Fotengauer-Malinovskiy
> <glebfm@> написал:
> > On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
> > > 
> > > Расскажите, пожалуйста, как подписать release файл, чтоб было как
> > > тут:
> > > ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/
> > > base/release
> > > 
> 
> хорошо бы сразу нужные команды)
> 

apt-get install apt-repo-tools
genbasedir --help

Чтобы было (почти) как в вышеприведённом release - что-то вида 

$ genbasedir -s --default-key="`rpm --eval='%_gpg_name'`" \
  --topdir=/pub/distributions/ALTLinux/Sisyphus  x86_64  classic

> 
> > > 
....
> > Там используется кейринг /usr/lib/alt-gpgkeys .
> 
> а как туда попасть?
> процедура такая же как для ключей разработчика? Баг на alt-gpgkeys?

$ gpg --homedir=/usr/lib/alt-gpgkeys/ --list-keys|grep boris@
uid                  Boris Savelev <boris@>

Срока годности для этого ключа не установлено.

> > 
> > > Дополнительный вопрос: 21 век, а в release _только_ md5...
> > > доколе?)
> > 
> > Будем надеяться, уже скоро.
> 

А чем он плох _в данном случае_? Как планируется получать коллизию для 
*list.* ? Не говоря уж про эксплуатацию?

... А то ещё можно вспомнить про длину ключей incominger/updates 
и сравнить её с текущими требованиями из
https://www.altlinux.org/Процедура_принятия_в_Team

-- 
С уважением,
Николай Фетисов

Re: [devel] repo: release

[Boris Savelev]

19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov <naf@naf.net.ru> написал:
> Здравствуйте!
>
> В Пн, 19/06/2017 в 16:53 +0300, Boris Savelev пишет:
>> 19 июня 2017 г., 16:02 пользователь Gleb Fotengauer-Malinovskiy
>> <glebfm@> написал:
>> > On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
>> > >
>> > > Расскажите, пожалуйста, как подписать release файл, чтоб было как
>> > > тут:
>> > > ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/
>> > > base/release
>> > >
>>
>> хорошо бы сразу нужные команды)
>>
>
> apt-get install apt-repo-tools
> genbasedir --help
>
> Чтобы было (почти) как в вышеприведённом release - что-то вида
>
> $ genbasedir -s --default-key="`rpm --eval='%_gpg_name'`" \
>   --topdir=/pub/distributions/ALTLinux/Sisyphus  x86_64  classic
>

Спасибо!

>>
>> > >
> ....
>> > Там используется кейринг /usr/lib/alt-gpgkeys .
>>
>> а как туда попасть?
>> процедура такая же как для ключей разработчика? Баг на alt-gpgkeys?
>
> $ gpg --homedir=/usr/lib/alt-gpgkeys/ --list-keys|grep boris@
> uid                  Boris Savelev <boris@>
>
> Срока годности для этого ключа не установлено.

Мне надо другим ключом... Его в gpgkeys нет(

>
>> >
>> > > Дополнительный вопрос: 21 век, а в release _только_ md5...
>> > > доколе?)
>> >
>> > Будем надеяться, уже скоро.
>>
>
> А чем он плох _в данном случае_? Как планируется получать коллизию для
> *list.* ? Не говоря уж про эксплуатацию?
>
> ... А то ещё можно вспомнить про длину ключей incominger/updates
> и сравнить её с текущими требованиями из
> https://www.altlinux.org/Процедура_принятия_в_Team
>

Ну... Как минимум на всякий случай.
https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA256
Clients may not use the MD5Sum and SHA1 fields for security purposes,
and must require a SHA256 or a SHA512 field.

-- 
Boris

Re: [devel] repo: release

[Ivan Zakharyaschev]

[-- Attachment #1: Type: text/plain, Size: 794 bytes --]


On Mon, 19 Jun 2017, Nikolay A. Fetisov wrote:

>> > > Расскажите, пожалуйста, как подписать release файл, чтоб было как
>> > > тут:
>> > > ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/
>> > > base/release
>> > > 
>> 
>> хорошо бы сразу нужные команды)
>> 
>
> apt-get install apt-repo-tools
> genbasedir --help
>
> Чтобы было (почти) как в вышеприведённом release - что-то вида 
>
> $ genbasedir -s --default-key="`rpm --eval='%_gpg_name'`" \
>  --topdir=/pub/distributions/ALTLinux/Sisyphus  x86_64  classic

Ещё на ftp.altlinux.org, как мне кажется, используется не 
исторически-традиционный, а flat layout, т.е. когда RPMS.classic и 
SRPMS.classic на одном уровне. (Для этого у genbasedir есть опция.) По 
умолчанию SRPMS ищутся на уровень выше.

-- 
Best regards,
Ivan

Re: [devel] repo: release

[Nikolay A. Fetisov]

Здравствуйте!

В Пн, 19/06/2017 в 17:31 +0300, Boris Savelev пишет:
> 19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov <naf@>
> написал:
> > ....
> > > > > Дополнительный вопрос: 21 век, а в release _только_ md5...
> > > > > доколе?)
> > > > 
> > > > Будем надеяться, уже скоро.
> > 
> > А чем он плох _в данном случае_? ...
> 
> Ну... Как минимум на всякий случай.
> https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA
> 256
> Clients may not use the MD5Sum and SHA1 fields for security purposes,
> and must require a SHA256 or a SHA512 field.

Это в Debian'е и для их deb'ов.


У нас же 

$ rpm --checksig -vv  alt-gpgkeys-0.7.118-alt1.src.rpm 
D: Ожидаемый размер:       262690 = lead(96)+sigs(248)+pad(0)+data(262346)
D: Фактический размер:       262690
alt-gpgkeys-0.7.118-alt1.src.rpm:
MD5 sum OK: 4d0a5101640c959f198373d884d0c74b
gpg: WARNING: unsafe ownership on homedir `/usr/lib/alt-gpgkeys'
gpg: Signature made Tue Jun 13 17:40:59 2017 MSK using DSA key ID AE4AE412
gpg: Good signature from "R. E. Gnimocni <incominger@>"


Смысл использовать в release что-либо сложнее MD5, если сами
пакеты верифицируются MD5 и PGP с ключом DSA/1024 (т.е., насколько
я понимаю, с использованием SHA-1) ? 


-- 
С уважением,
Николай Фетисов

Re: [devel] repo: release

[Alexey Tourbin]

2017-06-19 15:59 GMT+03:00 Boris Savelev <boris@altlinux.org>:
> Привет!
>
> Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
> ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release

http://git.altlinux.org/people/ldv/packages/girar.git?a=blob_plain;f=gb/gb-y-repo-regen-basedir

А что вы хотите сделать?  Я обдумывал, как переделать genbasedir,
исходя из того, что есть три типовых сценария его использования:
1) --mode=repo - для поддержки полного репозитория, фактически для
girar-builder, со всеми специфическими для girar-builder фишками.
Вроде бы больше никто отдельного большого репозитория не поддерживает.
В этом режиме, в частности, планируется изготовлять два варианта
pkglist: pkglist.classic.xz и pkglist.classic+bloat.zst (второй - с
полным списком файлов для разрешения неизвестных заранее файловых
зависимостей).
2) --mode=task - для поддержки оверлейных репозиториев типа RPMS.task.
3) --mode=distro - для изготовления дистрибутивов, используется в
mkimage-profiles.  Отличие в том, что в distro может входить неполные
комплекты подпакетов, это определенным образом влияет на возможность
кеширования хедеров srclist.classic.

В общем, я должно убеждал себя, что у genbasedir есть только два
клиента - girar-builder и mkimage-profiles.  Так что можно заточить
его под себя произвольно специфическим образом.  Поэтому интересно,
кто и как его хочет использовать в более общем виде.

Re: [devel] repo: release

[Boris Savelev]

19 июня 2017 г., 20:27 пользователь Alexey Tourbin
<alexey.tourbin@gmail.com> написал:
> А что вы хотите сделать?

У нас есть разное ПО, которое нет смысла заливать в сизиф или
куда-либо, но для которого хочется сделать репозиторий для альта.
Сейчас репозиторий есть, но он не подписан. Хотим подписать)

-- 
Boris

Re: [devel] repo: release

[Michael Shigorin]

On Mon, Jun 19, 2017 at 08:27:55PM +0300, Alexey Tourbin wrote:
> В общем, я должно убеждал себя, что у genbasedir есть только
> два клиента - girar-builder и mkimage-profiles.

Изредка применяю вручную, но это скорее исключения, точно
не стоящие оптимизации (N малое пакетов в любом разе).

-- 
 ---- WBR, Michael Shigorin / http://altlinux.org
  ------ http://opennet.ru / http://anna-news.info

Re: [devel] repo: release

[Yuri Sedunov]

В Вт, 20/06/2017 в 10:40 +0300, Michael Shigorin пишет:
> On Mon, Jun 19, 2017 at 08:27:55PM +0300, Alexey Tourbin wrote:
> > В общем, я должно убеждал себя, что у genbasedir есть только
> > два клиента - girar-builder и mkimage-profiles.
> 
> Изредка применяю вручную, но это скорее исключения, точно
> не стоящие оптимизации (N малое пакетов в любом разе).

Постоянно применяю, формируя временные репо для тестирования, в
частности, и при подготовке нового GNOME, на котором genbasedir
отрабатывает для меня достаточно быстро.

-- 
Yuri N. Sedunov

Re: [devel] repo: release

[Yuri Sedunov]

В Пн, 26/06/2017 в 16:58 +0300, Pavel Isopenko пишет:
> Добрый день.
> 
> 20.06.2017 11:33, Yuri Sedunov пишет:
> > В Вт, 20/06/2017 в 10:40 +0300, Michael Shigorin пишет:
> > > On Mon, Jun 19, 2017 at 08:27:55PM +0300, Alexey Tourbin wrote:
> > > > В общем, я должно убеждал себя, что у genbasedir есть только
> > > > два клиента - girar-builder и mkimage-profiles.
> > > 
> > > Изредка применяю вручную, но это скорее исключения, точно
> > > не стоящие оптимизации (N малое пакетов в любом разе).
> > 
> > Постоянно применяю, формируя временные репо для тестирования, в
> > частности, и при подготовке нового GNOME, на котором genbasedir
> > отрабатывает для меня достаточно быстро.
> > 
>  А подключаете временные репо - как? Интересуют все возможные приёмы,
> в связи с тематикой PPA для ALT.

Как подключать репозитории, надеюсь, все знают. У меня всё устроено
бесхитростно, -- для тех репо, что в ходу постоянно, просто есть записи
в /etc/apt/sources.list.d/my.list
...
# current hasher
rpm file:///storage/ALTLinux/current x86_64 hasher

# Unstable gnome
# rpm file:///storage/ALTLinux/gnome/3.26 x86_64 hasher

Делаю локальные копии репо, которые готовятся удаленно на
basalt.a.o,  поскольку предпочитаю хранить наработки в более чем одном месте.

Репо с новым гномом в период интенсивной подготовки также доступен для
всех на
ftp.altlinux.org/pub/people/gnome/

Для сборки/обслуживания репо задействованы две пары hasher-
псевдоюзеров, и используются простенькие скрипты и alias'ы -- обертки
на hsh, genbasedir, rsync, слегка поправленный много лет назад под
hasher-repo -- sisyphus_cleanup_dups.

Из готовых репо можно быстро приготовить задание для сборочницы, если
необходимо, выстроив очередь с помощью girar-nmu-sort-transaction.


-- 
Yuri N. Sedunov