Разработчики дистрибутива Arch Linux уведомили (http://www.archlinux.org/news/having-pacman-verify-packages/) пользователей о включении по умолчанию функции проверки цифровых подписей пакетов начиная с выпуска пакетного менеджера pacman 4.0.3-2. Поддержка  проверки пакетов по цифровой подписи была реализована (https://www.opennet.ru/opennews/art.shtml?num=32835) в pacman ещё пол года назад, но до этого момента данная функция не была включена по умолчанию из-за неготовности инфраструктуры. Указанная возможность позволяет гарантировать, что устанавливаемый из репозитория пакет не был подменён и получен в том виде, в котором его изначально подготовили разработчики, что особенно полезно при установке пакетов с произвольных зеркал.

После установки обновления с pacman-4.0.3-2, пользователю будет предложено запустить команды:

<font color="#461b7e">
   pacman-key --init
   pacman-key --populate archlinux
</font>

после выполнения которых будет создано локальное хранилище ключей и загружены все необходимые проверочные ключи, в том числе пять основных публичных ключей, используемых для подтверждения валидности пакетов Arch Linux. В процессе импорта ключей с целью предотвращения подмены ключей в процессе загрузки программа предложит сверить хэши ключа с хэшами опубликованными (https://www.archlinux.org/master-keys/) на официальном сайте. Управление верификацией пакетов осуществляется через директиву  SigLevel в файле конфигурации  pacman.conf.

URL: http://www.archlinux.org/news/having-pacman-verify-packages/
Новость: https://www.opennet.ru/opennews/art.shtml?num=34005

• В Arch Linux по умолчанию включена проверка цифровых подписе...,kombat, 21:34 , 04-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 23:34 , 04-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 00:24 , 05-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,Aceler, 23:05 , 05-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,А, 10:55 , 05-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,ВовкаОсиист, 22:21 , 04-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,rshadow, 09:45 , 05-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Денис, 14:57 , 05-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,szh, 15:34 , 05-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 01:24 , 06-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,Анином, 03:29 , 08-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,Вернат, 22:24 , 04-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Виндус, 23:12 , 04-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Вернат, 23:39 , 04-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,ВовкаОсиист, 00:02 , 05-Июн-12
        • В Arch Linux по умолчанию включена проверка цифровых подписе...,Вернат, 01:21 , 05-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,Виндус, 01:57 , 06-Июн-12
        • В Arch Linux по умолчанию включена проверка цифровых подписе...,Вернат, 14:06 , 06-Июн-12
          • В Arch Linux по умолчанию включена проверка цифровых подписе...,Виндус, 01:03 , 07-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 23:38 , 04-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Вернат, 23:39 , 04-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Nxx, 09:01 , 05-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,Вернат, 15:37 , 05-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 22:37 , 04-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 23:21 , 04-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,sdgs, 23:22 , 04-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,EUGENE, 01:22 , 05-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,Тот самый аноним, 06:40 , 05-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 01:29 , 06-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,Sergey722, 10:11 , 05-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Aceler, 23:07 , 05-Июн-12
• В Arch Linux по умолчанию включена проверка цифровых подписе...,Xasd, 18:14 , 05-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 18:40 , 05-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Xasd, 19:51 , 05-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,добрый дядя, 20:22 , 05-Июн-12
    • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 01:30 , 06-Июн-12
      • В Arch Linux по умолчанию включена проверка цифровых подписе...,Анином, 03:53 , 08-Июн-12
  • В Arch Linux по умолчанию включена проверка цифровых подписе...,Аноним, 14:25 , 29-Июн-12

махнув не глядя, обновил пакман)

Вот так большинство и сделает. А еще потом скрипт спросит, что есть вон какие-то локальные непонятные ключи, подписать их? А а откуда я знаю, что это за ключи? Конечно подписывай - главное чтоб все работало.
Откуда безопасности взяться если человеку надо думать и принимать решения, а ему не хочется да и инфы нету под рукой?

В АрчеВике есть всё

Выкладывать хеши ключей на вики — это пять!!

Или ты не это имел в виду?

можно свериться с этим http://www.archlinux.org/master-keys/

Арч рулит, я надеюсь те ключи не по пицот метров весят? А то мне жопорезом их тянуть %)

Арч не рулит, он пытается догнать

> Арч не рулит, он пытается догнать

Кого например ?

цифровая подпись пакетов была у Redhat и у Suse более 10 лет назад, как подсказывает гугл у Ubuntu с рождения и у Debian 10 лет назад.

> Кого например ?

Всех кто юзал пакетные манагеры на основе rpm и deb пакетов :)

Например обезьян дрочащих на безопасность. (с) Линукс наш Торвальдс

а что скажете о opensuse Tumbleweed ?

А чего про него надо говорить?

кто юзает его как альтернативу Арчу по части роллинг релиза

там пакеты более старые чем в арче, видимо тестируют они их дольше.

ну они и позиционируют что это срез стабильных пакетов

Почему как альтернативу ? Подключай репу и пользуйся. В основном всё работает без проблем.

да, четвертый день - полет нормальный. Ждал вдруг кто напишет про подводные камни если они есть

> да, четвертый день - полет нормальный. Ждал вдруг кто напишет про подводные
> камни если они есть

Надо просто перед обновлением просматривать список обновляемых пакетов, бывает иногда, особенно когда новое "ведро" в репы положат, что не все "ведёрные" пакеты обновляются сразу, тогда лучше день обождать. А с остальными пакетами я лично проблем вообще не замечал.

Коротко говоря: "Лучше день потерять, а потом за пять минут долететь"(Ц) Всё вкусное без тебя всё равно не съедят.

А причём здесь он? Цифровые подписи к RPM-пакетам всегда были, и opensuse Tumbleweed здесь ничем не выделяется. Об opensuse Tumbleweed скажу то, что когда вышла версия дистрибутива 12.1, у меня неожиданно пропал репозиторий Tumbleweed для openSUSE 11.4. А обновляться я не хочу из-за Gnome 3 по-умолчанию. Поэтому давно не видел.

теперь то там прописана ссылка на current а не на версию

Ну так не обновляй Гном. Делов-то

Оо, Вы! :)   я на кедах сижу. И вообще просто поинтересовался

Долго они ковырялись.

Шел 2012 год.

А раньше не было?! О_о

Отключите проверку цыфровых подписей в /etc/pacman.conf, да и спите себе спокойно, если вам эта функциональность не требуеться!

Вендор лок, же!

> Вендор лок, же!

И кто на кого лочится? Пингвин это вам не виндус, кто угодно может сам себе ключ выписать нахаляву. И заинсталлить. Просто это ремотно и без административных прав как-то не очень удобно делать, что должно порадовать хаксоров и прочих MITMов лишний раз ;)

А что теперь с АУРом? Надо добавлять свой ключ и подписывать пакеты им?

P.S.: Новость позитивная, а то даже как-то неприлично... вроде бы дистр для тру линуксойдов, а с подписыванием пакетов дела как в каком-то PCLinuxOS для домохозяек.

> А что теперь с АУРом? Надо добавлять свой ключ и подписывать пакеты
> им?
> P.S.: Новость позитивная, а то даже как-то неприлично... вроде бы дистр для
> тру линуксойдов, а с подписыванием пакетов дела как в каком-то PCLinuxOS
> для домохозяек.

facepalm.gpg

когда ждать в Gentoo ? :) [подписанных ebuild`ов]

Подписанные ебилды, как и параллелизация при загрузке, не нужны. Так говорят разработчики Gentoo.

> Подписанные ебилды, как и параллелизация при загрузке, не нужны. Так говорят разработчики
> Gentoo.

но этоже както странно %) %)..

как тогда мне узнать что, когда я делаю ``emerge --sycn`` -- то ebuild`ы заливаются именно из интнетов, а не от "хакера Васи" который подрубился в подъезде к моему ethernet-проводу ?

> как тогда мне узнать что, когда я делаю ``emerge --sycn`` -- то ebuild`ы заливаются именно из интнетов, а не от "хакера Васи" который подрубился в подъезде к моему ethernet-проводу?

принцип неуловимого джо в действии ^_^

> Подписанные ебилды, как и параллелизация при загрузке, не нyжны.

Хм... надеюсь, кто-нить из MITMов оценит и воткнет на DNS ссыль на себя. Где дакие же дебил,ды, но - с немного доработанным функционалом. Как будто гентушники еще и читают чего они там компиляют...

Судя по речевому обороту.. ты сюда с xakep.ru пришел? Время высирать б кем ты.

Читайте документацию, господа. Давно есть. http://www.gentoo.org/doc/en/handbook/handbook-amd64.xml?par...
Как можно использовать дистрибутивы, где пакеты/порты не подписываются, для меня загадка. Даже в домохозяечном убунту с рождения есть. В очередной раз показывает, что гентушникам/арчеводам их дистрибутивы не для работы, а для игр.