The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Для CentOS 6 и 7 началось формирование цифровых подписей для..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от opennews (??) on 07-Май-15, 09:00 
Разработчики дистрибутива CentOS сообщили (http://seven.centos.org/2015/05/signed-repository-metadata-i.../) о введении в практику системы верификации по цифровой подписи метаданных репозиториев с обновлениями для веток CentOS 6 и 7. Верификация метаданных (repomd.xml) введена в дополнение (http://blog.packagecloud.io/eng/2014/11/24/howto-gpg-sign-ve.../) к ранее предлагаемой проверке по цифровым подписям самих пакетов и позволяет убедиться, что загруженные параметры репозитория не были подменены и соответствуют данным, подготовленным разработчикам дистрибутива.

URL: http://seven.centos.org/2015/05/signed-repository-metadata-i.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42181

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +5 +/
Сообщение от Аноним (??) on 07-Май-15, 09:00 
А раньше что, можно было пихать любую труху в метаданные? O_O
Вот так посмотришь на ...датые технологии редхата и случайно замечаешь что дебиан и прочие убунты с немолодой пакетной системой - на световые годы впереди по технологиям, оказывается, были. Там как-то проверять подпись списка пакетов - доперли сто лет назад.

Хотя редхатчики доперли до более странных вещей. Сначала - до того чтобы грузить адовый XML, а потом - базы в скулайте, с аргументом что скачка и парсинг XML-адилища видите ли очень тормозит на репах с большим количеством пакетов :). Извини, редхат. У тебя много хороших разработчиков. Но пакетный менеджер - гoвнo! И последствия его гунявости вызывают немало улыбок до сих пор.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  –5 +/
Сообщение от Аноним (??) on 07-Май-15, 09:39 
то есть дпкг с аптом, которые ставят пакеты в разы дольше с хрен угадаешь какими последствиями для конфигов и зависимостей это ок?

и редхет тут каким боком, если у него в rhn https с авторизацией по ключу?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 07-Май-15, 11:14 
Только не надо о последствиях! apt-get -f install 100500 раз спасал меня в самых тяжёлых ситуациях. И пакетов в убунте больше, вроде около 70000.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  –1 +/
Сообщение от Аноним (??) on 07-Май-15, 12:47 
И почему вы попадали в эти тяжелые ситуации?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +2 +/
Сообщение от Аноним (??) on 07-Май-15, 13:19 
Как и любой другой пользователь. Например ставил древний, брошеный ktechlab, порушивший все зависимости. Правда потом я его, qt3 и kdelibs3 подрихтовал и пересобрал в /опт.

Понимаете ли, кто не работает, тот не ошибается. Вам конечно через pussy.exe виндее, но моя практика показывает, что благодаря апту, та же бубунта будет более живучей, чем Красношапочное семейство.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 09-Май-15, 05:18 
> Только не надо о последствиях! apt-get -f install 100500 раз спасал меня
> в самых тяжёлых ситуациях. И пакетов в убунте больше, вроде около 70000.

Вообще, дебианский пакетный менеджер сложно положить в штопор. А если удалось - он обычно сам же и расскажет как из штопора выходить, прям в коноли. А какой-нибудь гуйный синаптик и вовсе сам попробует выйти из штопора на автомате.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Andrey Mitrofanov on 07-Май-15, 12:46 
> то есть дпкг с аптом, которые ставят пакеты в разы дольше с
> хрен угадаешь какими последствиями для конфигов и зависимостей это ок?

Не, это не "ок", это просто враньё. Или кривые-левые пакеты.

> и редхет тут каким боком, если у него в rhn https с
> авторизацией по ключу?

Зато ты всё сделал Правильно! И отлегло!

Q: I want to change a service file, but rpm keeps overwriting it in /usr/lib/systemd/system all the time, how should I handle this?

A: The recommended way is to copy the service file from /usr/lib/systemd/system to /etc/systemd/system and edit it there. The latter directory takes precedence over the former, and rpm will never overwrite it. If you want to use the distributed service file again you can simply delete (or rename) the service file in /etc/systemd/system again.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

11. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 07-Май-15, 17:26 
> Q: I want to change a service file, but rpm keeps overwriting it in /usr/lib/systemd/system all the time, how should I handle this?

Это неправильный подход, и так нельзя делать в любом пакетном дистрибутиве. Если попытаться провернуть такой трюк в дебиане, то при любом обновлении пакета, которому принадлежит файл, он точно так же перезапишется. Правда, в Debian на случай сильной нужды есть divert, но это всё равно не по фэн-шую.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

18. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 09-Май-15, 05:14 
> на случай сильной нужды есть divert, но это всё равно не по фэн-шую.

Это конечно не по феншую, но с upstart им пользоваться приходилось. Потому что в апстарте вроде как совсем нельзя вписать себя чужой зависимостью "задним числом" ака только своим конфигом. А вот чтобы конфиг этого другого не перетер очередной апдейт - придется устраивать диверсии. Хоть это и нафиг надо.

В этом плане Поттеринг умнее сделал. С пониманием проблематики. Большинство вклинов/оверрайдов boot sequence в его конструкции делаются сугубо из своего конфига, не трогая соседские. Так что приз в борьбе за фэншуйство внезапно получает Леня.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Май-15, 17:41 
>> то есть дпкг с аптом, которые ставят пакеты в разы дольше
> Не, это не "ок", это просто враньё.

Оставленное за dpkg замечал.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 09-Май-15, 05:00 
> Оставленное за dpkg замечал.

Гольным dpkg рулить в системе имеет смысл только по каким-то особым случаям.

А если смотреть на то как работает вся используемая на практике связка в сумме, как то apt vs yum, apt и быстрее отрабатывает и ресурсов при этом кушает кардинально меньше. А то что гольный rpm не так уж плох - ну может быть. А толку?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 09-Май-15, 04:35 
> то есть дпкг с аптом, которые ставят пакеты в разы дольше

Апт в общем случае работает зело быстрее чем у...ще под названием yum. ВНЕЗАПНО. И памяти жpeт в разы меньше. Потому как это плюсы, с небольшими вкраплениями скриптов на перле и sh. А к редхатовой бидонятине с менее 512 мегов не подходи вообще, что очень доставляет на виртуалках - там если памяти меньше поставить, будут просто факапы при попытке поставить разлапистый пакет. Кончится память, все обломится и ... ну а apt доползает до финиша на машине с 128Мб памяти.

> с хрен угадаешь какими последствиями для конфигов и зависимостей это ок?

Редхат решил проблему фундаментально: нет пакетов - нет проблем! У них штатно доступно без лишних телодвижений полтора пакета. А остальное - из левых репов, с ровно теми же проблемами, под заявы редхата что их хата с краю, ничего не знаю :)

> и редхет тут каким боком, если у него в rhn https с авторизацией по ключу?

А редхет тут таким боком что их никто не заставлял такое непотребное гoвно использовать в качестве пакетного менеджера.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +1 +/
Сообщение от Аноним (??) on 07-Май-15, 11:09 
А какая, хрен (это растение, а не мат), разница что там в метаданных?

Максимум, что может сделать хакер - сделать левый репозиторий необновляемым (жуть атака). Пакеты всё равно должны проходить верификацию.

// b.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

17. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 09-Май-15, 05:06 
> Максимум, что может сделать хакер - сделать левый репозиторий необновляемым (жуть атака).

Отличная атака. Если в некоем пакете нашли уязвимость... легким движением руки эта музыка будет длиться вечно. Target никогда не узнает про апдейт. И при минимальном контроле над сетью, target-у не поможет даже переустановка системы. Апдейченый пакет за обозримое время не установят -> всегда можно вломиться еще раз. Отличная фича для промышленного шпионажа и прочих persistent threats.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

12. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Michael Shigorin email(ok) on 07-Май-15, 17:39 
> Там как-то проверять подпись списка пакетов - доперли сто лет назад.

В альте тоже работало ещё когда с ним познакомился: http://lists.altlinux.org/pipermail/community/2001-May/43476...

> Но пакетный менеджер - *****!

При чём тут _пакетный_ менеджер?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Для CentOS 6 и 7 началось формирование цифровых подписей для..."  +/
Сообщение от Аноним (??) on 09-Май-15, 04:55 
> В альте тоже работало ещё когда с ним познакомился:

Поди по наследству от дебиана? :) В дебиане почему-то такие вещи допирают сильно быстрее чем до ынтырпрайзного редхата.

>> Но пакетный менеджер - *****!
> При чём тут _пакетный_ менеджер?

Наверное при том, что я в общем случае понимаю под менеджментом пакетов ВСЕ действия со связанной с этим инфраструктурой. В том числе и фронтэнд пакетного менеджера, и все служебные приблуды. А чем еще я должен называть дребедень типа yum? Мне лениво говорить каждый раз что он фронтэнд к пакетному менеджеру rpm, который в этом может и не виноват, но не очень сильно полезен без этой обвязки (то что у альтов эта обвязка другая - это другая история).

On side note - я так и не понял нафейхоа в альте прицепились к RPM формату пакетов. Наверное использовать дебиановские подходы с дебиановскими тулзами показалось слишком просто.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру