OpenForum RSS: Для CentOS 6 и 7 началось формирование цифровых подписей для... https://www.opennet.ru/openforum/vsluhforumID3/102441.html Разработчики дистрибутива CentOS сообщили (http://seven.centos.org/2015/05/signed-repository-metadata-is-now-available-for-centos-6-and-7-for-the-updates-repo/) о введении в практику системы верификации по цифровой подписи метаданных репозиториев с обновлениями для веток CentOS 6 и 7. Верификация метаданных (repomd.xml) введена в дополнение (http://blog.packagecloud.io/eng/2014/11/24/howto-gpg-sign-verify-rpm-packages-yum-repositories/) к ранее предлагаемой проверке по цифровым подписям самих пакетов и позволяет убедиться, что загруженные параметры репозитория не были подменены и соответствуют данным, подготовленным разработчикам дистрибутива.<br><br>URL: http://seven.centos.org/2015/05/signed-repository-metadata-is-now-available-for-centos-6-and-7-for-the-updates-repo/<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=42181<br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#20 Sat, 09 May 2015 02:18:20 GMT &gt; Только не надо о последствиях! apt-get -f install 100500 раз спасал меня <br>&gt; в самых тяжёлых ситуациях. И пакетов в убунте больше, вроде около 70000.<br><br>Вообще, дебианский пакетный менеджер сложно положить в штопор. А если удалось - он обычно сам же и расскажет как из штопора выходить, прям в коноли. А какой-нибудь гуйный синаптик и вовсе сам попробует выйти из штопора на автомате.<br><br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#18 Sat, 09 May 2015 02:14:05 GMT &gt; на случай сильной нужды есть divert, но это всё равно не по фэн-шую.<br><br>Это конечно не по феншую, но с upstart им пользоваться приходилось. Потому что в апстарте вроде как совсем нельзя вписать себя чужой зависимостью "задним числом" ака только своим конфигом. А вот чтобы конфиг этого другого не перетер очередной апдейт - придется устраивать диверсии. Хоть это и нафиг надо.<br><br>В этом плане Поттеринг умнее сделал. С пониманием проблематики. Большинство вклинов/оверрайдов boot sequence в его конструкции делаются сугубо из своего конфига, не трогая соседские. Так что приз в борьбе за фэншуйство внезапно получает Леня. <br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#17 Sat, 09 May 2015 02:06:10 GMT &gt; Максимум, что может сделать хакер - сделать левый репозиторий необновляемым (жуть атака).<br><br>Отличная атака. Если в некоем пакете нашли уязвимость... легким движением руки эта музыка будет длиться вечно. Target никогда не узнает про апдейт. И при минимальном контроле над сетью, target-у не поможет даже переустановка системы. Апдейченый пакет за обозримое время не установят -&gt; всегда можно вломиться еще раз. Отличная фича для промышленного шпионажа и прочих persistent threats.<br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#16 Sat, 09 May 2015 02:00:31 GMT &gt; Оставленное за dpkg замечал.<br><br>Гольным dpkg рулить в системе имеет смысл только по каким-то особым случаям. <br><br>А если смотреть на то как работает вся используемая на практике связка в сумме, как то apt vs yum, apt и быстрее отрабатывает и ресурсов при этом кушает кардинально меньше. А то что гольный rpm не так уж плох - ну может быть. А толку?<br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#15 Sat, 09 May 2015 01:55:04 GMT &gt; В альте тоже работало ещё когда с ним познакомился:<br><br>Поди по наследству от дебиана? :) В дебиане почему-то такие вещи допирают сильно быстрее чем до ынтырпрайзного редхата.<br><br>&gt;&gt; Но пакетный менеджер - *****!<br>&gt; При чём тут _пакетный_ менеджер?<br><br>Наверное при том, что я в общем случае понимаю под менеджментом пакетов ВСЕ действия со связанной с этим инфраструктурой. В том числе и фронтэнд пакетного менеджера, и все служебные приблуды. А чем еще я должен называть дребедень типа yum? Мне лениво говорить каждый раз что он фронтэнд к пакетному менеджеру rpm, который в этом может и не виноват, но не очень сильно полезен без этой обвязки (то что у альтов эта обвязка другая - это другая история).<br><br>On side note - я так и не понял нафейхоа в альте прицепились к RPM формату пакетов. Наверное использовать дебиановские подходы с дебиановскими тулзами показалось слишком просто.<br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#14 Sat, 09 May 2015 01:35:01 GMT &gt; то есть дпкг с аптом, которые ставят пакеты в разы дольше<br><br>Апт в общем случае работает зело быстрее чем у...ще под названием yum. ВНЕЗАПНО. И памяти жpeт в разы меньше. Потому как это плюсы, с небольшими вкраплениями скриптов на перле и sh. А к редхатовой бидонятине с менее 512 мегов не подходи вообще, что очень доставляет на виртуалках - там если памяти меньше поставить, будут просто факапы при попытке поставить разлапистый пакет. Кончится память, все обломится и ... ну а apt доползает до финиша на машине с 128Мб памяти. <br><br>&gt; с хрен угадаешь какими последствиями для конфигов и зависимостей это ок?<br><br>Редхат решил проблему фундаментально: нет пакетов - нет проблем! У них штатно доступно без лишних телодвижений полтора пакета. А остальное - из левых репов, с ровно теми же проблемами, под заявы редхата что их хата с краю, ничего не знаю :)<br><br>&gt; и редхет тут каким боком, если у него в rhn https с авторизацией по ключу?<br><br>А редхет тут таким боком что их никто не заставлял такое непотребное гoвно использовать в Для CentOS 6 и 7 началось формирование цифровых подписей для... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#13 Thu, 07 May 2015 14:41:32 GMT &gt;&gt; то есть дпкг с аптом, которые ставят пакеты в разы дольше<br>&gt; Не, это не "ок", это просто враньё.<br><br>Оставленное за dpkg замечал.<br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#12 Thu, 07 May 2015 14:39:02 GMT &gt; Там как-то проверять подпись списка пакетов - доперли сто лет назад.<br><br>В альте тоже работало ещё когда с ним познакомился: http://lists.altlinux.org/pipermail/community/2001-May/434765.html<br><br>&gt; Но пакетный менеджер - *****!<br><br>При чём тут _пакетный_ менеджер?<br> Для CentOS 6 и 7 началось формирование цифровых подписей для... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/102441.html#11 Thu, 07 May 2015 14:26:05 GMT &gt; Q: I want to change a service file, but rpm keeps overwriting it in /usr/lib/systemd/system all the time, how should I handle this?<br><br>Это неправильный подход, и так нельзя делать в любом пакетном дистрибутиве. Если попытаться провернуть такой трюк в дебиане, то при любом обновлении пакета, которому принадлежит файл, он точно так же перезапишется. Правда, в Debian на случай сильной нужды есть divert, но это всё равно не по фэн-шую.<br>