Управляемые репозитории

[Ivan Borzenkov]

13 марта 2011 23:24:38 Евгений Кузнецов писали:
> Доброго времени суток!
> 
> > Как все знают - для добавления репозитория нужны записи в sources.list и
> > ключи сейчас apt-add-repository корректно использует директорию
> > sources.list.d но почему-то для ключей не используется директория
> > trusted.gpg.d
> > в результате в trusted.gpg собирается хлам.
> 
> Вы, милейший, видимо, не до конца понимаете смысл trusted.gpg. В
> trusted.gpg хранятся публичные ключи тех людей (или сообществ),
> пакетам от которых Вы доверяете. Теоретически (на практике мне такого
> не встречалось) в одном и том же репозитории могут находиться пакеты,
> подписанные разными ключами (т. е. загруженные разными людьми), и
> наоборот, один и тот же ключ может использовать мейнтейнер для десятка
> разных поддерживаемых им репозиторием (вот такое встречается сплошь и
> рядом).

Во первых - в файле trusted.gpg и директории trusted.gpg.d хранятся публичные 
ключи не людей, которым доверяете вы, а ключи репозиториям которым доверяет 
apt на вашей машине.
Ключи людей хранятся в ~/.gnupg/ потому как доверяете им вы, а не машина и к 
репозиториям они отношения обычно не имеют.

Во вторых - апт использует именно ключи репозиториев - бинарный пакет вообще 
ничем не подписан, у него только контрольная сумма, в репозитории подписан 
только список пакетов с контрольными суммами причем именно ключом репозитория, 
а никак не ключом разработчика - ключом разработчика подписывается только 
пакет исходного кода.

Кстати, замечу что для каждого ppa при создании генерится ключ и именно он 
есть на странице репозитория и именно его скачивает apt-add-repository.

Ладно, даже если мы отойдем от ppa - пусть у нас несколько репозиториев 
(вообще совсем сторонних) подписаны одним ключом - ну будет у нас лежать 
repo1.gpg и repo2.gpg - apt абсолютно спокойно на это отреагирует - если мы 
доверяем этому ключу, то хоть 5 раз мы ему будем доверять.

> 
> По Вашей логике выходит, что, если Вы удалили один репозиторий, Вы
> перестали доверять его мэйнтейнеру, и не хотите видеть в своей системе
> подписанные им пакеты из других репозиториев?
> 

Нет, но когда мы удалили все репозитории подписанные этим ключом то тогда ключ 
должен удалиться.

> > 1) на странице репозитория просто размещается ссылка на пакет -
> > установить можно с помощью gdebi или ubuntu-software-center
> 
> Многие так и делают, ничего нового Вы не изобрели.
> 
Зато это будет автоматизировано и для всех.

> > 2) некоторые популярные репозитории можно вообще добавить в архив ubuntu
> 
> Как Вы думаете, почему этого до сих пор не сделали? Подсказываю: за
> то, что находится в архиве Ubuntu, отвечают совершенно конкретные
> люди. За то, что находится в PPA, отвечают люди, которым этот PPA
> принадлежит. Это не всегда одни и те же люди.
> 
Ну хорошо, не надо добавлять, это так :)
Доже без этого бонусов много.

> > 4) простота апгрейда - можно завести пакеты -natty -mavarick -lucid и
> > -stable -testing -lts причем последнии будут обновляться сами
> 
> Как Вы думаете, существует ли причина, по которой при релиз-апгрейде
> все сторонние репозитории автоматически вырубаются, или это сделано
> просто для того, чтобы усложнить пользователю жизнь?
> 
Думаю существует, а так-же думаю что существует причина по которой эти 
репозитории после обновления добавляются снова пользователем.

Но блин, если пользователь уверен, что он будет юзать этот репозиторий, то это 
его право.
Потому что например вне зависимости от апдейтов я по прежнему буду юзать 
скажем ubuntu-wine ppa и psi-plus ppa и еще много других.

> --
> Всех благ,
> Евгений Кузнецов

---
Иван Борзенков <ivan1986 на list.ru>
----------- следущая часть -----------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 198 bytes
Desc: This is a digitally signed message part.
URL: <https://lists.ubuntu.com/archives/ubuntu-ru/attachments/20110314/21c89cda/attachment.pgp>