W jaki sposób rpm weryfikuje podpisy pakietów?

Adam Osuchowski adwol at zonk.pl
Thu Oct 18 15:52:10 CEST 2018 

Jacek Konieczny wrote:
> Feature-request do Poldka. Nie musi przecież to być w samym RPMie.

Nie musi, ale im bliżej niego tym lepiej, bo nie zawsze się poldka
używa wprost. Wystarczyłoby, żeby było makro w rpmie określające jakie
zewnętrzne polecenie uruchomić przed upgradem/usuwaniem i żeby rpm
go odpalał gdy potrzeba.

> To takie rzeczy najlepiej jakimś ansiblem robić, to zawsze można
> wszystko od zera odtworzyć.

To też armata na muchę... Ansible, chefy czy inne puppety sprawdzają się
przy dużej skali.

> Ale tego nie da się zrobić dobrze nie pozbywając się %pre, %post i
> %trigger. Nie zagwarantujesz powrotu do stanu sprzed zainstalowania
> pakietu jeśli przy jego instalcji i deinstalacji może się wykonywać
> jakiś dodatkowy kod i to jeszcze zależny od innych pakietów
> zainstalowanych w systemie.

Ja to wiem i akceptuję to. Obecny repackage też tego nie robi. Raczej
chodzi o to, żeby mieć aktualne pliki wchodzące w skład danego pakietu,
poskładane do jednej instalowalnej paczki. Ew. problemy poboczne z
post/pre (których nota bene nie doświadczyłem za wiele przy aktualnym
repackage) są do przyjęcia, bo i tak to jest na wypadek problemów po
upgradzie po których i tak trzeba zazwyczaj ręcznej interwencji. 

> Ja z lenistwa nigdy się w weryfikację pakietów nie bawiłem. Zakładam, że
> pakiety biorę zawsze z zaufanego źródła. Jakby mi zależało na
> weryfikacji, to pewnie bym to sprawdził??? i się rozczarował.

Co z tego, że źródło jest zaufane, jak ciągniesz je z niebezpiecznego
ftpa? Poza tym, dochodzi do tego jeszcze kwestia ew. kompromitacji
serwera na którym są składowane. Podpis powinien być integralną częścią
pliku z paczką, a sama paczka być niezależna od tego skąd i jak się ją
pobrało. To jest coś, co w dzisiejszym świecie jest całkowicie naturalne
(no chyba, że się jest Google Playem), co podobało mi się w rpmie i brak
czego mnie zawsze denerwował w dystrybucjach z paczkami w formacie .deb.
Tam zapewnienie integralności paczek zostało przesunięte do osobnych
plików i potem z tego wychodzą dziwne kontrukcje w stylu tego całego PPA.

> Mnie się nie wydaje, żeby akurat repackage było takie istotne.

Co kto lubi. Ja wolę (chociaż w zasadzie powinienem napisać, że muszę)
mieć wyjście awaryjne, gdy po jakimś upgradzie będzie wtopa i trzeba się
będzie na szybko cofnąć.

More information about the pld-devel-pl mailing list