Re[2]: Управляемые репозитории

[Иван Борзенков]

-----Original Message-----

> On Monday 14 March 2011, Ivan Borzenkov wrote: 
> >14 марта 2011 07:00:11 Евгений Кузнецов писали:
> >> > Во первых - в файле trusted.gpg и директории trusted.gpg.d хранятся
> >> > публичные ключи не людей, которым доверяете вы, а ключи репозиториям
> >> > которым доверяет apt на вашей машине.
> >> 
> >> Апт никому не доверяет, доверяет системный администратор ;)
> >
> >Нечего сказать так начали придираться?
> Понимаете, что я могу завести себе несколько ppa репозоториев и подписывать их 
> одним и тем же ключём. А теперь предствим что происходит, когда пользователь 
> устанавливает пакет с моим вторым репозиторием: мой ключ записывается в 
> директорию trusted.gpg.d, но там уже есть мой ключ. Получаем конфликт. Пакет 
> не ставится. Второй репозиторий не добавляется.
> 
Да, понимаю, но, при наличии двух одинаковых ключей в файлах в trusted.gpg.d 
конфликта не происходит (я проверял на аптитуде) все работает штатно.
Если именовать файлы и пакеты по определенному формату - никаких проблем.
А формат довольно простой apt-add-pero уже его использует для ppa
для сторонних репозиториев тоже просто на основе полного dns имени - 
конфликтов не будет точно проверено интернетом :)

> >> > Но блин, если пользователь уверен, что он будет юзать этот репозиторий,
> >> > то это его право.
> >> 
> >> Разумеется! Но мы ведь говорим об общем случае, о дефолтном поведении,
> >> если хотите. А дефолтное поведение, которое имеется сейчас, лучше, чем
> >> предлагаемое Вами, как минимум, в смысле безопасности.
> >
> >При новом релизе что-то случается с репозиторием? Он становится менее
> >безопасным? В него начинают что-то загружать злобные хакеры?
> При новом релизе репозитории могут не обновится, и весь апгрейд системы просто 
> станет из-за сторонних репозиториев. Кроме того апгрейд системы со 
> стандартными репозиториями оттестирован довольно многими юзерами, а вот 
> определённая комбинация сторонних репозиториев нет. Поэтому в общем случае 
> юзеру не гарантируется что у него система вообще заработает после такого 
> апгрейда.
> 
> >Там абсолютно ничего не меняется, только собирается все с новыми
> >библиотеками и возможно новые версии тех-же самых программ.
> Никто не обязан в ppa репозитории собирать пакеты для новых версий Убунту.
> 
Если нет нового, то на новый и не переключится - это все уже придумано на лаунчпаде
в веб интерфейсе. Я сейчас использую natty - под него нету довольно многих
репозиториев - так вполне нормально работают репозитории от maverick
правда при этом выясняется что apt-add-repo работает через одно место и просто 
добавляет репозиторий без проверки его наличия.

> >Нынешнее поведение хуже как минимум гемороем при обновлении, но в плане
> >безопасности ничем не лучше.
> В свете вышесказанного подумайте готовы ли вы получить наполовину 
> установленную систему и насколько это менее геморно, чем отредактировать 
> файлики в sources.d, в которых, кстати, таки меняется название предыдущего 
> дистрибутива на новое.
> 
Так по сути пакет и будет это делать сам не тревожа пользователя.
Пакет может сам скриптами обновиться при добавлении в репозиторий пакетов для нового 
дистрибутива.

Опять-же если посмотреть в сторону debian, то у них есть ссылки на дистрибутивы
(stable, testing, unstable) что тоже частично решает проблему если их автоматически
проставлять (заменив на что-то типа lts, stable, devel)

Вообще довольно просто - если нету репозитория под эту версию то берем под более 
младший существующий - что по сути сейчас мне и приходится делать используя natty, 
только руками.

> -- 
> With best regards, Alex.
> -- 
> ubuntu-ru mailing list
> ubuntu-ru на lists.ubuntu.com
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
>