[pacman] Signature, clés principales, +/- fonctionnement
- mimile
- Maître du Kyudo
- Messages : 1507
- Inscription : lun. 14 nov. 2011, 10:21
- Localisation : Seraing (Belgique)
Re: [pacman] problème de mise à jour
Finalement, j'ai réussi à installer pacman 4
J'ai exécuté sudo pacman-key --init et j'ai obtenu une clé "marquée comme ayant une confiance ultime".
J'ai voulu ensuite faire une mise à jour et voici ce que ça a donné ;
http://pastebin.archlinux.fr/435314
Toutes ces erreurs 404 m'inquiètent ...
Auriez-vous une explication/solution ?
EDIT : à noter que j'ai tenté l'installation et que ça a donné ceci :
http://pastebin.archlinux.fr/435315
Merci d'avance
J'ai exécuté sudo pacman-key --init et j'ai obtenu une clé "marquée comme ayant une confiance ultime".
J'ai voulu ensuite faire une mise à jour et voici ce que ça a donné ;
http://pastebin.archlinux.fr/435314
Toutes ces erreurs 404 m'inquiètent ...
Auriez-vous une explication/solution ?
EDIT : à noter que j'ai tenté l'installation et que ça a donné ceci :
http://pastebin.archlinux.fr/435315
Merci d'avance
La TV ? J'adore la TV. Je peux rester des heures devant la TV ... et même, parfois, il m'arrive de l'allumer ...
(Jean-Luc GODARD)
(Jean-Luc GODARD)
Re: [pacman] problème de mise à jour
Le fait qu'il retourne une erreur 404 est normal, les .sig pour les bases n'existent pas (encore ...) et les paquets ne sont pas tous signés.
Le fait qu'il te l'affiche est parce que tu as choisi d'utiliser
Le fait qu'il te l'affiche est parce que tu as choisi d'utiliser
wget
à la place de l'outil interne (libcurl
).Re: [pacman] problème de mise à jour
Merci à tous pour vos précisions. Comme le suggère FoolEcho, je vais clore ce topic. On va très certainement revenir sur le sujet une fois que le wiki français sur les clefs PGP sera prêt.
"La complication est un effet de la simplicité mal acquise"
Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [pacman] problème de mise à jour [résolu]
Il est prêt dans ses grandes lignes depuis un moment, il suffira de le compléter au fur et à mesure (pacman-key). Il présentait déjà comment récupèrer les clés et leur faire confiance + configuration au niveau de pacman.conf, il manquait essentiellement la partie sur les master keys ou passe-partout (qui vous permet de ne pas faire l'import des clés des développeurs et des utilisateurs de confiance d'Arch pour les paquets officiels car pacman le fera pour vous). De toutes manières, tant qu'il manque certaines parties (la signature des bases de données notamment) et tant que le feu vert officiel n'est pas donnée, ça n'est pas grave de conserver la configuration par défaut (c'est-à-dire pas de vérification)... j'imagine que les sujets ne manqueront pas de fleurir d'ici là...onyx67 a écrit :On va très certainement revenir sur le sujet une fois que le wiki français sur les clefs PGP sera prêt.
À l'intention des éventuels contributeurs du wiki là-dessus (je mets ça ici mais peut-être le mettrai-je directement sur la page discussion du wiki): je pense que contrairement au wiki anglophone, on ne devra pas y mettre de scripts pour récupérer, signer et "truster" automatiquement (si un utilisateur veut utiliser ce type de script, c'est son choix, mais c'est quand même potentiellement dangereux).
«The following statement is not true. The previous statement is true.»
Re: [pacman] problème de mise à jour [résolu]
Bon, j'ai configuré les Passe-partout comme indiqué dans le wiki et réglé pacman.conf avec « Optional TrustedOnly » plutôt que la validation auto que j'avais configuré.
Bon boulot, merci.
Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?
Bon boulot, merci.
Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [pacman] problème de mise à jour [résolu]
On parlera plutôt de clés principales (-- je rectifie avant que ça se répande de trop par ma faute -- merci à tuxce, j'avais un doute sur la traduction... comme on peut le voir sur mon message précédent: entre clé primaire (sql), principale et traduction littérale, je me suis un peu moins perdu que sur le wiki ).ignace72 a écrit :Bon, j'ai configuré les Passe-partout comme indiqué dans le wiki et réglé pacman.conf avec « Optional TrustedOnly » plutôt que la validation auto que j'avais configuré.
Ne pas oublier qu'on peut aussi règler les niveaux de vérification selon les dépôts.
Tu oublies un truc: Aur fourni l'archive permettant de construire le paquet, pas le paquet lui-même. Et, si je ne me trompe pas (je ne me suis pas trop renseigné là-dessus encore à vrai dire), il n'y a rien de prévu pour signer le .src.tar.gz (on pourrait imaginer le faire cependant, mais après se pose le problème de récupérer la clé publique du mainteneur, où les ranger, etc. ... mais à ce niveau, on ne pourrait pas se garantir de paquets malicieux de toutes manières: c'est vraiment à chacun de faire attention et de limiter l'usage des paquets d'AUR). Ça rentre dans la catégorie "paquets persos", même si la base est fournie par un tiers, donc c'est à toi de le signer ou pas (ce qui au final ne change rien).ignace72 a écrit :Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?
Il faudra doubler les messages d'avertissements concernant l'usage d'Aur.
«The following statement is not true. The previous statement is true.»
Re: [pacman] problème de mise à jour [résolu]
J'oublie pas, j'ai juste fais un raccourci.
Ma question était sur les paquet créé avec Yaourt. Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.
Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?
Avec ma configuration GPG de pacman, je n'ai aucune erreur de pacman donc je me pause la question.
Ma question était sur les paquet créé avec Yaourt. Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.
Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?
Avec ma configuration GPG de pacman, je n'ai aucune erreur de pacman donc je me pause la question.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [pacman] problème de mise à jour [résolu]
C'est plus pour donner des billes à ceux qui suivent le sujet et qui ne doivent pas manquer de se demander comment tout ça fonctionne et ce qu'on peut/pourra faire.ignace72 a écrit :J'oublie pas, j'ai juste fais un raccourci.
On peut signer n'importe quoi.ignace72 a écrit :Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.
Ce serait forcément avec ta clé privé (ou une autre) via makepkg. Mais pour un paquet qui ne vise pas à être distribué ça ne donne strictement rien, donc je gage qu'ils ne le sont pas.ignace72 a écrit :Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?
Quelques infos:
Package_Signing_Proposal_for_Pacman
Pacman_package_signing
«The following statement is not true. The previous statement is true.»
Re: [pacman] Signature, clés principales, +/- fonctionnement
yaourt
utilise makepkg
+ pacman
, ce qui s'applique à ces derniers s'applique aussi à yaourt
.Pour
makepkg
, la gestion des signature se situe à 2 niveaux:- Vérification des sources. Une source dans le PKGBUILD de ce genre:
Code : Tout sélectionner
source=(uri://.../fichier_source.tar.gz{,.sig})
makepkg
de vérifier la source, exemple torsocks- Signature du paquet généré, mais pour une installation dans la foulé, c'est loin d'être nécessaire surtout si comme pour
yaourt
, vous lancez un pacman -U le_paquet
donc en gros, pacman
ne voit même pas la signature.Ceci dit, la signature n'est pas par défaut dans
makepkg
, il faut l'activer dans le /etc/makepkg.conf
Re: [pacman] Signature, clés principales, +/- fonctionnement
Merci pour ces infos.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Re: [pacman] Signature, clés principales, +/- fonctionnement
Bon, j'ai enfin eu un peu plus de temps pour me pencher plus sérieusement sur le wiki. J'ai donc importé les "master-keys", modifié le niveau de confiance et configuré /etc/pacman.conf.pacnew sur "SigLevel = Optionnal TrustedOnly".
Ça marche nickel.
Effectivement, comme indiqué dans le wiki, l'option "Optionnal TrustAll" n'existe qu'à des fins de debug.
Merci à tous, en particulier FoolEcho et ignace72
Ça marche nickel.
Effectivement, comme indiqué dans le wiki, l'option "Optionnal TrustAll" n'existe qu'à des fins de debug.
Merci à tous, en particulier FoolEcho et ignace72
"La complication est un effet de la simplicité mal acquise"
Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
Re: [pacman] Signature, clés principales, +/- fonctionnement
De rien, j'ai beaucoup appris aussi venant du monde apt-get
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
[pacman-key] quelques questions, bien sûr
Bonjour.
Pacman 4 est arrivé, avec la signature des paquets.
Avant, je suppose que les paquets n'étaient pas signés. J'ai du coup mis à jour pacman.conf, en suivant le wiki, mais je me pose plein de questions.
- Quand pour un dépôt, on met l'option "Optional", en fait on check la signature uniquement si le paquet qu'on veut installer est signé ?
- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?
Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.
Pacman 4 est arrivé, avec la signature des paquets.
Avant, je suppose que les paquets n'étaient pas signés. J'ai du coup mis à jour pacman.conf, en suivant le wiki, mais je me pose plein de questions.
- Quand pour un dépôt, on met l'option "Optional", en fait on check la signature uniquement si le paquet qu'on veut installer est signé ?
- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?
Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.
- FoolEcho
- Maître du Kyudo
- Messages : 10707
- Inscription : dim. 15 août 2010, 11:48
- Localisation : Basse-Normandie
Re: [pacman] Signature, clés principales, +/- fonctionnement
Tout ça est dans le wiki et voir
Pour les clés que tu n'arrives pas à rapatrier, ça doit être un problème de serveur: essaie en modifiant /etc/pacman.d/gnupg/gpg.conf avec
Pour ceux qui n'ont pas encore franchi le pas, faut pas s'inquièter non plus: tant qu'il manque quelques briques et que rien n'est officiel, ça reste du test (d'ailleurs pour le moment, SigLevel est à Never par défaut).
man pacman.conf
pour les détails.Tu ne risques rien à l'import car pacman va vérifier à l'aide des clés principales si la clé à importer est valide (comme tu l'as vu, ou pas, à l'importation des clés principales: il faut aussi accorder la confiance à une clé). La confiance se base sur ta propre clé et les clés principales (on peut éventuellement rajouter d'autres clés ).djipey a écrit :- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?
Pour les clés que tu n'arrives pas à rapatrier, ça doit être un problème de serveur: essaie en modifiant /etc/pacman.d/gnupg/gpg.conf avec
keyserver hkp://pgp.mit.edu
.Elles ne le sont pas. Je pense que ça peut clarifier pour d'autres.djipey a écrit :Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.
Pour ceux qui n'ont pas encore franchi le pas, faut pas s'inquièter non plus: tant qu'il manque quelques briques et que rien n'est officiel, ça reste du test (d'ailleurs pour le moment, SigLevel est à Never par défaut).
«The following statement is not true. The previous statement is true.»