* [devel] non-authoritative Sisyphus packages
@ 2008-08-14 19:41 Igor Vlasenko
2008-08-15 7:16 ` Stanislav Ievlev
2008-08-15 8:21 ` Alexander Myltsev
0 siblings, 2 replies; 8+ messages in thread
From: Igor Vlasenko @ 2008-08-14 19:41 UTC (permalink / raw)
To: devel
Уважаемые коллеги,
скрещивание repocop и sisyphus_check
нашло интернсный список
http://repocop.altlinux.org/pub/repocop/reports/txt/by-test/sisyphus_check-check-gpg.txt
grep gpg по этому списку дает 262 пакета,
имеющих проблемы с gpg-подписью.
Другими словами, проверка на подлинность этих пакетов
с помощью alt-gpgkeys не проходит.
Оставив в стороне такое поведение alt-gpgkeys,
надо разобраться с пакетами.
Наверное, надо кому-то уважаемому и за Сизифом смотрящему
взять и переподписать эти пакеты своим ключем.
--
Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-14 19:41 [devel] non-authoritative Sisyphus packages Igor Vlasenko
@ 2008-08-15 7:16 ` Stanislav Ievlev
2008-08-15 7:43 ` Igor Vlasenko
2008-08-15 8:21 ` Alexander Myltsev
1 sibling, 1 reply; 8+ messages in thread
From: Stanislav Ievlev @ 2008-08-15 7:16 UTC (permalink / raw)
To: ALT Linux Team development discussions
Бывает, что мантейнеры теряют ключи, а пакеты подписанные старыми ключами
остаются.
Также иногда ключи "протухают", а пакеты всё ещё живут.
Наверное для этого надо придумать policy, а потом уже уважаемые и
смотрящие будут ему следовать ;)
On Thu, Aug 14, 2008 at 10:41:36PM +0300, Igor Vlasenko wrote:
> Уважаемые коллеги,
>
> скрещивание repocop и sisyphus_check
> нашло интернсный список
> http://repocop.altlinux.org/pub/repocop/reports/txt/by-test/sisyphus_check-check-gpg.txt
> grep gpg по этому списку дает 262 пакета,
> имеющих проблемы с gpg-подписью.
>
> Другими словами, проверка на подлинность этих пакетов
> с помощью alt-gpgkeys не проходит.
>
> Оставив в стороне такое поведение alt-gpgkeys,
> надо разобраться с пакетами.
>
> Наверное, надо кому-то уважаемому и за Сизифом смотрящему
> взять и переподписать эти пакеты своим ключем.
>
> --
>
> Dr. Igor Vlasenko
> --------------------
> Topology Department
> Institute of Math
> Kiev, Ukraine
>
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-15 7:16 ` Stanislav Ievlev
@ 2008-08-15 7:43 ` Igor Vlasenko
2008-08-15 7:49 ` Alexey Tourbin
2008-08-15 10:22 ` Michael Shigorin
0 siblings, 2 replies; 8+ messages in thread
From: Igor Vlasenko @ 2008-08-15 7:43 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, Aug 15, 2008 at 11:16:39AM +0400, Stanislav Ievlev wrote:
> Бывает, что мантейнеры теряют ключи, а пакеты подписанные старыми ключами
> остаются.
> Также иногда ключи "протухают", а пакеты всё ещё живут.
>
> Наверное для этого надо придумать policy, а потом уже уважаемые и
> смотрящие будут ему следовать ;)
да, но фокус в том, что пользователь напишет
rpm [alt] file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
а система скажет, что он пользуется фальшивым репозиторием с
поддельными пакетами :)
--
Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-15 7:43 ` Igor Vlasenko
@ 2008-08-15 7:49 ` Alexey Tourbin
2008-08-15 8:00 ` Igor Vlasenko
2008-08-15 10:22 ` Michael Shigorin
1 sibling, 1 reply; 8+ messages in thread
From: Alexey Tourbin @ 2008-08-15 7:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 723 bytes --]
On Fri, Aug 15, 2008 at 10:43:48AM +0300, Igor Vlasenko wrote:
> On Fri, Aug 15, 2008 at 11:16:39AM +0400, Stanislav Ievlev wrote:
> > Бывает, что мантейнеры теряют ключи, а пакеты подписанные старыми ключами
> > остаются.
> > Также иногда ключи "протухают", а пакеты всё ещё живут.
> >
> > Наверное для этого надо придумать policy, а потом уже уважаемые и
> > смотрящие будут ему следовать ;)
>
> да, но фокус в том, что пользователь напишет
> rpm [alt] file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
>
> а система скажет, что он пользуется фальшивым репозиторием с
> поддельными пакетами :)
Нет, ключом [alt] подписан файл /ALT/Sisyphus/x86_64/base/release.
Подписи у пакетов апт не проверяет.
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-15 7:49 ` Alexey Tourbin
@ 2008-08-15 8:00 ` Igor Vlasenko
0 siblings, 0 replies; 8+ messages in thread
From: Igor Vlasenko @ 2008-08-15 8:00 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, Aug 15, 2008 at 11:49:57AM +0400, Alexey Tourbin wrote:
> On Fri, Aug 15, 2008 at 10:43:48AM +0300, Igor Vlasenko wrote:
> > On Fri, Aug 15, 2008 at 11:16:39AM +0400, Stanislav Ievlev wrote:
> > > Бывает, что мантейнеры теряют ключи, а пакеты подписанные старыми ключами
> > > остаются.
> > > Также иногда ключи "протухают", а пакеты всё ещё живут.
> > >
> > > Наверное для этого надо придумать policy, а потом уже уважаемые и
> > > смотрящие будут ему следовать ;)
> >
> > да, но фокус в том, что пользователь напишет
> > rpm [alt] file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
> >
> > а система скажет, что он пользуется фальшивым репозиторием с
> > поддельными пакетами :)
>
> Нет, ключом [alt] подписан файл /ALT/Sisyphus/x86_64/base/release.
> Подписи у пакетов апт не проверяет.
Тогда отбой воздушной тревоги.
Но с пакетами нужно как-то подумать.
IMHO, просто переподписать.
--
Dr. Igor Vlasenko
--------------------
Topology Department
Institute of Math
Kiev, Ukraine
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-14 19:41 [devel] non-authoritative Sisyphus packages Igor Vlasenko
2008-08-15 7:16 ` Stanislav Ievlev
@ 2008-08-15 8:21 ` Alexander Myltsev
2008-08-15 8:57 ` Alexey I. Froloff
1 sibling, 1 reply; 8+ messages in thread
From: Alexander Myltsev @ 2008-08-15 8:21 UTC (permalink / raw)
To: ALT Linux Team development discussions
2008/8/14 Igor Vlasenko <vlasenko@imath.kiev.ua>:
> Наверное, надо кому-то уважаемому и за Сизифом смотрящему
> взять и переподписать эти пакеты своим ключем.
Что-то подсказывает мне, что уважаемый и смотрящий за Сизифом человек
(и мы знаем этого человека) не будет подписывать чужие пакеты не
глядя. И глядеть в каждый из 260 старых пакетов тоже не будет.
Кстати определение: если у пакета нет хозяина, хотя бы коллективного,
то такой пакет называется orphaned.
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-15 8:21 ` Alexander Myltsev
@ 2008-08-15 8:57 ` Alexey I. Froloff
0 siblings, 0 replies; 8+ messages in thread
From: Alexey I. Froloff @ 2008-08-15 8:57 UTC (permalink / raw)
To: ALT Devel discussion list
[-- Attachment #1: Type: text/plain, Size: 714 bytes --]
* Alexander Myltsev <avm@> [080815 12:32]:
> > Наверное, надо кому-то уважаемому и за Сизифом смотрящему
> > взять и переподписать эти пакеты своим ключем.
> Что-то подсказывает мне, что уважаемый и смотрящий за Сизифом человек
> (и мы знаем этого человека) не будет подписывать чужие пакеты не
> глядя. И глядеть в каждый из 260 старых пакетов тоже не будет.
Один раз он их уже подписал когда клал в Сизиф. Подпись
мантейнера может остаться только на src.rpm.
> Кстати определение: если у пакета нет хозяина, хотя бы коллективного,
> то такой пакет называется orphaned.
Или Идеальный Сферический Пакет в Вакууме. Он настолько
совершенен, что обновлять его не надо ;-)
--
Regards,
Sir Raorn.
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [devel] non-authoritative Sisyphus packages
2008-08-15 7:43 ` Igor Vlasenko
2008-08-15 7:49 ` Alexey Tourbin
@ 2008-08-15 10:22 ` Michael Shigorin
1 sibling, 0 replies; 8+ messages in thread
From: Michael Shigorin @ 2008-08-15 10:22 UTC (permalink / raw)
To: ALT Linux Team development discussions
On Fri, Aug 15, 2008 at 10:43:48AM +0300, Igor Vlasenko wrote:
> да, но фокус в том, что пользователь напишет
> rpm [alt] file:/var/ftp/pub/Linux/ALT/Sisyphus noarch classic
> а система скажет, что он пользуется фальшивым репозиторием с
> поддельными пакетами :)
Не-а. Система в лице apt проверяет подписи хэшей.
Насколько понимаю, проверкой подписей пакетов у нас
никто, кроме incoming, специально by default не озабочен.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2008-08-15 10:22 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-08-14 19:41 [devel] non-authoritative Sisyphus packages Igor Vlasenko
2008-08-15 7:16 ` Stanislav Ievlev
2008-08-15 7:43 ` Igor Vlasenko
2008-08-15 7:49 ` Alexey Tourbin
2008-08-15 8:00 ` Igor Vlasenko
2008-08-15 10:22 ` Michael Shigorin
2008-08-15 8:21 ` Alexander Myltsev
2008-08-15 8:57 ` Alexey I. Froloff
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git