Управляемые репозитории
Alex Fomenko
alex.fomenko на gmail.com
Пн Мар 14 06:38:48 UTC 2011
On Monday 14 March 2011, Ivan Borzenkov wrote:
>14 марта 2011 07:00:11 Евгений Кузнецов писали:
>> > Во первых - в файле trusted.gpg и директории trusted.gpg.d хранятся
>> > публичные ключи не людей, которым доверяете вы, а ключи репозиториям
>> > которым доверяет apt на вашей машине.
>>
>> Апт никому не доверяет, доверяет системный администратор ;)
>
>Нечего сказать так начали придираться?
Понимаете, что я могу завести себе несколько ppa репозоториев и подписывать их
одним и тем же ключём. А теперь предствим что происходит, когда пользователь
устанавливает пакет с моим вторым репозиторием: мой ключ записывается в
директорию trusted.gpg.d, но там уже есть мой ключ. Получаем конфликт. Пакет
не ставится. Второй репозиторий не добавляется.
>> > Но блин, если пользователь уверен, что он будет юзать этот репозиторий,
>> > то это его право.
>>
>> Разумеется! Но мы ведь говорим об общем случае, о дефолтном поведении,
>> если хотите. А дефолтное поведение, которое имеется сейчас, лучше, чем
>> предлагаемое Вами, как минимум, в смысле безопасности.
>
>При новом релизе что-то случается с репозиторием? Он становится менее
>безопасным? В него начинают что-то загружать злобные хакеры?
При новом релизе репозитории могут не обновится, и весь апгрейд системы просто
станет из-за сторонних репозиториев. Кроме того апгрейд системы со
стандартными репозиториями оттестирован довольно многими юзерами, а вот
определённая комбинация сторонних репозиториев нет. Поэтому в общем случае
юзеру не гарантируется что у него система вообще заработает после такого
апгрейда.
>Там абсолютно ничего не меняется, только собирается все с новыми
>библиотеками и возможно новые версии тех-же самых программ.
Никто не обязан в ppa репозитории собирать пакеты для новых версий Убунту.
>Нынешнее поведение хуже как минимум гемороем при обновлении, но в плане
>безопасности ничем не лучше.
В свете вышесказанного подумайте готовы ли вы получить наполовину
установленную систему и насколько это менее геморно, чем отредактировать
файлики в sources.d, в которых, кстати, таки меняется название предыдущего
дистрибутива на новое.
--
With best regards, Alex.
Подробная информация о списке рассылки ubuntu-ru