* [devel] repo: release
@ 2017-06-19 12:59 Boris Savelev
2017-06-19 13:02 ` Gleb Fotengauer-Malinovskiy
2017-06-19 17:27 ` Alexey Tourbin
0 siblings, 2 replies; 12+ messages in thread
From: Boris Savelev @ 2017-06-19 12:59 UTC (permalink / raw)
To: ALT Linux Team development discussions
Привет!
Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release
Валидируется оно, как я понял, через vendors.list. Там надо прописать
key id, но как ключ попадает к пользователям? Что-то типа
/etc/apt/trusted.gpg.d/ я не наблюдаю...
Дополнительный вопрос: 21 век, а в release _только_ md5... доколе?)
--
Boris
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 12:59 [devel] repo: release Boris Savelev
@ 2017-06-19 13:02 ` Gleb Fotengauer-Malinovskiy
2017-06-19 13:53 ` Boris Savelev
2017-06-19 17:27 ` Alexey Tourbin
1 sibling, 1 reply; 12+ messages in thread
From: Gleb Fotengauer-Malinovskiy @ 2017-06-19 13:02 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 815 bytes --]
On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
> Привет!
>
> Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
> ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release
>
> Валидируется оно, как я понял, через vendors.list. Там надо прописать
> key id, но как ключ попадает к пользователям? Что-то типа
> /etc/apt/trusted.gpg.d/ я не наблюдаю...
Там используется кейринг /usr/lib/alt-gpgkeys .
> Дополнительный вопрос: 21 век, а в release _только_ md5... доколе?)
Будем надеяться, уже скоро.
--
glebfm
[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 801 bytes --]
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 13:02 ` Gleb Fotengauer-Malinovskiy
@ 2017-06-19 13:53 ` Boris Savelev
2017-06-19 14:19 ` Nikolay A. Fetisov
0 siblings, 1 reply; 12+ messages in thread
From: Boris Savelev @ 2017-06-19 13:53 UTC (permalink / raw)
To: ALT Linux Team development discussions
19 июня 2017 г., 16:02 пользователь Gleb Fotengauer-Malinovskiy
<glebfm@altlinux.org> написал:
> On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
>> Привет!
>>
>> Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
>> ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release
>>
хорошо бы сразу нужные команды)
>> Валидируется оно, как я понял, через vendors.list. Там надо прописать
>> key id, но как ключ попадает к пользователям? Что-то типа
>> /etc/apt/trusted.gpg.d/ я не наблюдаю...
> Там используется кейринг /usr/lib/alt-gpgkeys .
а как туда попасть?
процедура такая же как для ключей разработчика? Баг на alt-gpgkeys?
>
>> Дополнительный вопрос: 21 век, а в release _только_ md5... доколе?)
> Будем надеяться, уже скоро.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 13:53 ` Boris Savelev
@ 2017-06-19 14:19 ` Nikolay A. Fetisov
2017-06-19 14:31 ` Boris Savelev
2017-06-19 14:49 ` Ivan Zakharyaschev
0 siblings, 2 replies; 12+ messages in thread
From: Nikolay A. Fetisov @ 2017-06-19 14:19 UTC (permalink / raw)
To: ALT Linux Team development discussions
Здравствуйте!
В Пн, 19/06/2017 в 16:53 +0300, Boris Savelev пишет:
> 19 июня 2017 г., 16:02 пользователь Gleb Fotengauer-Malinovskiy
> <glebfm@> написал:
> > On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
> > >
> > > Расскажите, пожалуйста, как подписать release файл, чтоб было как
> > > тут:
> > > ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/
> > > base/release
> > >
>
> хорошо бы сразу нужные команды)
>
apt-get install apt-repo-tools
genbasedir --help
Чтобы было (почти) как в вышеприведённом release - что-то вида
$ genbasedir -s --default-key="`rpm --eval='%_gpg_name'`" \
--topdir=/pub/distributions/ALTLinux/Sisyphus x86_64 classic
>
> > >
....
> > Там используется кейринг /usr/lib/alt-gpgkeys .
>
> а как туда попасть?
> процедура такая же как для ключей разработчика? Баг на alt-gpgkeys?
$ gpg --homedir=/usr/lib/alt-gpgkeys/ --list-keys|grep boris@
uid Boris Savelev <boris@>
Срока годности для этого ключа не установлено.
> >
> > > Дополнительный вопрос: 21 век, а в release _только_ md5...
> > > доколе?)
> >
> > Будем надеяться, уже скоро.
>
А чем он плох _в данном случае_? Как планируется получать коллизию для
*list.* ? Не говоря уж про эксплуатацию?
... А то ещё можно вспомнить про длину ключей incominger/updates
и сравнить её с текущими требованиями из
https://www.altlinux.org/Процедура_принятия_в_Team
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 14:19 ` Nikolay A. Fetisov
@ 2017-06-19 14:31 ` Boris Savelev
2017-06-19 15:06 ` Nikolay A. Fetisov
2017-06-19 14:49 ` Ivan Zakharyaschev
1 sibling, 1 reply; 12+ messages in thread
From: Boris Savelev @ 2017-06-19 14:31 UTC (permalink / raw)
To: ALT Linux Team development discussions
19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov <naf@naf.net.ru> написал:
> Здравствуйте!
>
> В Пн, 19/06/2017 в 16:53 +0300, Boris Savelev пишет:
>> 19 июня 2017 г., 16:02 пользователь Gleb Fotengauer-Malinovskiy
>> <glebfm@> написал:
>> > On Mon, Jun 19, 2017 at 03:59:42PM +0300, Boris Savelev wrote:
>> > >
>> > > Расскажите, пожалуйста, как подписать release файл, чтоб было как
>> > > тут:
>> > > ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/
>> > > base/release
>> > >
>>
>> хорошо бы сразу нужные команды)
>>
>
> apt-get install apt-repo-tools
> genbasedir --help
>
> Чтобы было (почти) как в вышеприведённом release - что-то вида
>
> $ genbasedir -s --default-key="`rpm --eval='%_gpg_name'`" \
> --topdir=/pub/distributions/ALTLinux/Sisyphus x86_64 classic
>
Спасибо!
>>
>> > >
> ....
>> > Там используется кейринг /usr/lib/alt-gpgkeys .
>>
>> а как туда попасть?
>> процедура такая же как для ключей разработчика? Баг на alt-gpgkeys?
>
> $ gpg --homedir=/usr/lib/alt-gpgkeys/ --list-keys|grep boris@
> uid Boris Savelev <boris@>
>
> Срока годности для этого ключа не установлено.
Мне надо другим ключом... Его в gpgkeys нет(
>
>> >
>> > > Дополнительный вопрос: 21 век, а в release _только_ md5...
>> > > доколе?)
>> >
>> > Будем надеяться, уже скоро.
>>
>
> А чем он плох _в данном случае_? Как планируется получать коллизию для
> *list.* ? Не говоря уж про эксплуатацию?
>
> ... А то ещё можно вспомнить про длину ключей incominger/updates
> и сравнить её с текущими требованиями из
> https://www.altlinux.org/Процедура_принятия_в_Team
>
Ну... Как минимум на всякий случай.
https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA256
Clients may not use the MD5Sum and SHA1 fields for security purposes,
and must require a SHA256 or a SHA512 field.
--
Boris
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 14:19 ` Nikolay A. Fetisov
2017-06-19 14:31 ` Boris Savelev
@ 2017-06-19 14:49 ` Ivan Zakharyaschev
1 sibling, 0 replies; 12+ messages in thread
From: Ivan Zakharyaschev @ 2017-06-19 14:49 UTC (permalink / raw)
To: ALT Linux Team development discussions
[-- Attachment #1: Type: text/plain, Size: 794 bytes --]
On Mon, 19 Jun 2017, Nikolay A. Fetisov wrote:
>> > > Расскажите, пожалуйста, как подписать release файл, чтоб было как
>> > > тут:
>> > > ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/
>> > > base/release
>> > >
>>
>> хорошо бы сразу нужные команды)
>>
>
> apt-get install apt-repo-tools
> genbasedir --help
>
> Чтобы было (почти) как в вышеприведённом release - что-то вида
>
> $ genbasedir -s --default-key="`rpm --eval='%_gpg_name'`" \
> --topdir=/pub/distributions/ALTLinux/Sisyphus x86_64 classic
Ещё на ftp.altlinux.org, как мне кажется, используется не
исторически-традиционный, а flat layout, т.е. когда RPMS.classic и
SRPMS.classic на одном уровне. (Для этого у genbasedir есть опция.) По
умолчанию SRPMS ищутся на уровень выше.
--
Best regards,
Ivan
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 14:31 ` Boris Savelev
@ 2017-06-19 15:06 ` Nikolay A. Fetisov
0 siblings, 0 replies; 12+ messages in thread
From: Nikolay A. Fetisov @ 2017-06-19 15:06 UTC (permalink / raw)
To: ALT Linux Team development discussions
Здравствуйте!
В Пн, 19/06/2017 в 17:31 +0300, Boris Savelev пишет:
> 19 июня 2017 г., 17:19 пользователь Nikolay A. Fetisov <naf@>
> написал:
> > ....
> > > > > Дополнительный вопрос: 21 век, а в release _только_ md5...
> > > > > доколе?)
> > > >
> > > > Будем надеяться, уже скоро.
> >
> > А чем он плох _в данном случае_? ...
>
> Ну... Как минимум на всякий случай.
> https://wiki.debian.org/DebianRepository/Format#MD5Sum.2C_SHA1.2C_SHA
> 256
> Clients may not use the MD5Sum and SHA1 fields for security purposes,
> and must require a SHA256 or a SHA512 field.
Это в Debian'е и для их deb'ов.
У нас же
$ rpm --checksig -vv alt-gpgkeys-0.7.118-alt1.src.rpm
D: Ожидаемый размер: 262690 = lead(96)+sigs(248)+pad(0)+data(262346)
D: Фактический размер: 262690
alt-gpgkeys-0.7.118-alt1.src.rpm:
MD5 sum OK: 4d0a5101640c959f198373d884d0c74b
gpg: WARNING: unsafe ownership on homedir `/usr/lib/alt-gpgkeys'
gpg: Signature made Tue Jun 13 17:40:59 2017 MSK using DSA key ID AE4AE412
gpg: Good signature from "R. E. Gnimocni <incominger@>"
Смысл использовать в release что-либо сложнее MD5, если сами
пакеты верифицируются MD5 и PGP с ключом DSA/1024 (т.е., насколько
я понимаю, с использованием SHA-1) ?
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 12:59 [devel] repo: release Boris Savelev
2017-06-19 13:02 ` Gleb Fotengauer-Malinovskiy
@ 2017-06-19 17:27 ` Alexey Tourbin
2017-06-19 17:32 ` Boris Savelev
2017-06-20 7:40 ` Michael Shigorin
1 sibling, 2 replies; 12+ messages in thread
From: Alexey Tourbin @ 2017-06-19 17:27 UTC (permalink / raw)
To: ALT Linux Team development discussions
2017-06-19 15:59 GMT+03:00 Boris Savelev <boris@altlinux.org>:
> Привет!
>
> Расскажите, пожалуйста, как подписать release файл, чтоб было как тут:
> ftp://ftp.altlinux.ru/pub/distributions/ALTLinux/Sisyphus/x86_64/base/release
http://git.altlinux.org/people/ldv/packages/girar.git?a=blob_plain;f=gb/gb-y-repo-regen-basedir
А что вы хотите сделать? Я обдумывал, как переделать genbasedir,
исходя из того, что есть три типовых сценария его использования:
1) --mode=repo - для поддержки полного репозитория, фактически для
girar-builder, со всеми специфическими для girar-builder фишками.
Вроде бы больше никто отдельного большого репозитория не поддерживает.
В этом режиме, в частности, планируется изготовлять два варианта
pkglist: pkglist.classic.xz и pkglist.classic+bloat.zst (второй - с
полным списком файлов для разрешения неизвестных заранее файловых
зависимостей).
2) --mode=task - для поддержки оверлейных репозиториев типа RPMS.task.
3) --mode=distro - для изготовления дистрибутивов, используется в
mkimage-profiles. Отличие в том, что в distro может входить неполные
комплекты подпакетов, это определенным образом влияет на возможность
кеширования хедеров srclist.classic.
В общем, я должно убеждал себя, что у genbasedir есть только два
клиента - girar-builder и mkimage-profiles. Так что можно заточить
его под себя произвольно специфическим образом. Поэтому интересно,
кто и как его хочет использовать в более общем виде.
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 17:27 ` Alexey Tourbin
@ 2017-06-19 17:32 ` Boris Savelev
2017-06-20 7:40 ` Michael Shigorin
1 sibling, 0 replies; 12+ messages in thread
From: Boris Savelev @ 2017-06-19 17:32 UTC (permalink / raw)
To: ALT Linux Team development discussions
19 июня 2017 г., 20:27 пользователь Alexey Tourbin
<alexey.tourbin@gmail.com> написал:
> А что вы хотите сделать?
У нас есть разное ПО, которое нет смысла заливать в сизиф или
куда-либо, но для которого хочется сделать репозиторий для альта.
Сейчас репозиторий есть, но он не подписан. Хотим подписать)
--
Boris
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-19 17:27 ` Alexey Tourbin
2017-06-19 17:32 ` Boris Savelev
@ 2017-06-20 7:40 ` Michael Shigorin
2017-06-20 8:33 ` Yuri Sedunov
1 sibling, 1 reply; 12+ messages in thread
From: Michael Shigorin @ 2017-06-20 7:40 UTC (permalink / raw)
To: devel
On Mon, Jun 19, 2017 at 08:27:55PM +0300, Alexey Tourbin wrote:
> В общем, я должно убеждал себя, что у genbasedir есть только
> два клиента - girar-builder и mkimage-profiles.
Изредка применяю вручную, но это скорее исключения, точно
не стоящие оптимизации (N малое пакетов в любом разе).
--
---- WBR, Michael Shigorin / http://altlinux.org
------ http://opennet.ru / http://anna-news.info
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
2017-06-20 7:40 ` Michael Shigorin
@ 2017-06-20 8:33 ` Yuri Sedunov
0 siblings, 1 reply; 12+ messages in thread
From: Yuri Sedunov @ 2017-06-20 8:33 UTC (permalink / raw)
To: devel
В Вт, 20/06/2017 в 10:40 +0300, Michael Shigorin пишет:
> On Mon, Jun 19, 2017 at 08:27:55PM +0300, Alexey Tourbin wrote:
> > В общем, я должно убеждал себя, что у genbasedir есть только
> > два клиента - girar-builder и mkimage-profiles.
>
> Изредка применяю вручную, но это скорее исключения, точно
> не стоящие оптимизации (N малое пакетов в любом разе).
Постоянно применяю, формируя временные репо для тестирования, в
частности, и при подготовке нового GNOME, на котором genbasedir
отрабатывает для меня достаточно быстро.
--
Yuri N. Sedunov
^ permalink raw reply [flat|nested] 12+ messages in thread
* Re: [devel] repo: release
@ 2017-06-26 15:44 ` Yuri Sedunov
0 siblings, 0 replies; 12+ messages in thread
From: Yuri Sedunov @ 2017-06-26 15:44 UTC (permalink / raw)
To: devel
В Пн, 26/06/2017 в 16:58 +0300, Pavel Isopenko пишет:
> Добрый день.
>
> 20.06.2017 11:33, Yuri Sedunov пишет:
> > В Вт, 20/06/2017 в 10:40 +0300, Michael Shigorin пишет:
> > > On Mon, Jun 19, 2017 at 08:27:55PM +0300, Alexey Tourbin wrote:
> > > > В общем, я должно убеждал себя, что у genbasedir есть только
> > > > два клиента - girar-builder и mkimage-profiles.
> > >
> > > Изредка применяю вручную, но это скорее исключения, точно
> > > не стоящие оптимизации (N малое пакетов в любом разе).
> >
> > Постоянно применяю, формируя временные репо для тестирования, в
> > частности, и при подготовке нового GNOME, на котором genbasedir
> > отрабатывает для меня достаточно быстро.
> >
> А подключаете временные репо - как? Интересуют все возможные приёмы,
> в связи с тематикой PPA для ALT.
Как подключать репозитории, надеюсь, все знают. У меня всё устроено
бесхитростно, -- для тех репо, что в ходу постоянно, просто есть записи
в /etc/apt/sources.list.d/my.list
...
# current hasher
rpm file:///storage/ALTLinux/current x86_64 hasher
# Unstable gnome
# rpm file:///storage/ALTLinux/gnome/3.26 x86_64 hasher
Делаю локальные копии репо, которые готовятся удаленно на
basalt.a.o, поскольку предпочитаю хранить наработки в более чем одном месте.
Репо с новым гномом в период интенсивной подготовки также доступен для
всех на
ftp.altlinux.org/pub/people/gnome/
Для сборки/обслуживания репо задействованы две пары hasher-
псевдоюзеров, и используются простенькие скрипты и alias'ы -- обертки
на hsh, genbasedir, rsync, слегка поправленный много лет назад под
hasher-repo -- sisyphus_cleanup_dups.
Из готовых репо можно быстро приготовить задание для сборочницы, если
необходимо, выстроив очередь с помощью girar-nmu-sort-transaction.
--
Yuri N. Sedunov
^ permalink raw reply [flat|nested] 12+ messages in thread
end of thread, other threads:[~2017-06-26 15:44 UTC | newest]
Thread overview: 12+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2017-06-19 12:59 [devel] repo: release Boris Savelev
2017-06-19 13:02 ` Gleb Fotengauer-Malinovskiy
2017-06-19 13:53 ` Boris Savelev
2017-06-19 14:19 ` Nikolay A. Fetisov
2017-06-19 14:31 ` Boris Savelev
2017-06-19 15:06 ` Nikolay A. Fetisov
2017-06-19 14:49 ` Ivan Zakharyaschev
2017-06-19 17:27 ` Alexey Tourbin
2017-06-19 17:32 ` Boris Savelev
2017-06-20 7:40 ` Michael Shigorin
2017-06-20 8:33 ` Yuri Sedunov
2017-06-26 15:44 ` Yuri Sedunov
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git