[pacman] Signature, clés principales, +/- fonctionnement

Questions et astuces concernant l'installation et la configuration d'archlinux
Avatar de l’utilisateur
mimile
Maître du Kyudo
Messages : 1507
Inscription : lun. 14 nov. 2011, 10:21
Localisation : Seraing (Belgique)

Re: [pacman] problème de mise à jour

Message par mimile »

Finalement, j'ai réussi à installer pacman 4

J'ai exécuté sudo pacman-key --init et j'ai obtenu une clé "marquée comme ayant une confiance ultime".

J'ai voulu ensuite faire une mise à jour et voici ce que ça a donné ;

http://pastebin.archlinux.fr/435314

Toutes ces erreurs 404 m'inquiètent ...

Auriez-vous une explication/solution ?

EDIT : à noter que j'ai tenté l'installation et que ça a donné ceci :

http://pastebin.archlinux.fr/435315


Merci d'avance
La TV ? J'adore la TV. Je peux rester des heures devant la TV ... et même, parfois, il m'arrive de l'allumer ...
Image
(Jean-Luc GODARD)
Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03

Re: [pacman] problème de mise à jour

Message par tuxce »

Le fait qu'il retourne une erreur 404 est normal, les .sig pour les bases n'existent pas (encore ...) et les paquets ne sont pas tous signés.
Le fait qu'il te l'affiche est parce que tu as choisi d'utiliser wget à la place de l'outil interne (libcurl).
Avatar de l’utilisateur
onyx67
Elfe
Messages : 766
Inscription : dim. 06 nov. 2011, 18:12
Localisation : Alsace

Re: [pacman] problème de mise à jour

Message par onyx67 »

Merci à tous pour vos précisions. Comme le suggère FoolEcho, je vais clore ce topic. On va très certainement revenir sur le sujet une fois que le wiki français sur les clefs PGP sera prêt.
"La complication est un effet de la simplicité mal acquise"

Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [pacman] problème de mise à jour [résolu]

Message par FoolEcho »

onyx67 a écrit :On va très certainement revenir sur le sujet une fois que le wiki français sur les clefs PGP sera prêt.
Il est prêt dans ses grandes lignes depuis un moment, il suffira de le compléter au fur et à mesure (pacman-key). Il présentait déjà comment récupèrer les clés et leur faire confiance + configuration au niveau de pacman.conf, il manquait essentiellement la partie sur les master keys ou passe-partout (qui vous permet de ne pas faire l'import des clés des développeurs et des utilisateurs de confiance d'Arch pour les paquets officiels car pacman le fera pour vous). De toutes manières, tant qu'il manque certaines parties (la signature des bases de données notamment) et tant que le feu vert officiel n'est pas donnée, ça n'est pas grave de conserver la configuration par défaut (c'est-à-dire pas de vérification)... j'imagine que les sujets ne manqueront pas de fleurir d'ici là... :chinois:

À l'intention des éventuels contributeurs du wiki là-dessus (je mets ça ici mais peut-être le mettrai-je directement sur la page discussion du wiki): je pense que contrairement au wiki anglophone, on ne devra pas y mettre de scripts pour récupérer, signer et "truster" automatiquement (si un utilisateur veut utiliser ce type de script, c'est son choix, mais c'est quand même potentiellement dangereux).
«The following statement is not true. The previous statement is true.» :nage:
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour [résolu]

Message par ignace72 »

Bon, j'ai configuré les Passe-partout comme indiqué dans le wiki et réglé pacman.conf avec « Optional TrustedOnly » plutôt que la validation auto que j'avais configuré.
Bon boulot, merci.

Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [pacman] problème de mise à jour [résolu]

Message par FoolEcho »

ignace72 a écrit :Bon, j'ai configuré les Passe-partout comme indiqué dans le wiki et réglé pacman.conf avec « Optional TrustedOnly » plutôt que la validation auto que j'avais configuré.
On parlera plutôt de clés principales (-- je rectifie avant que ça se répande de trop par ma faute -- merci à tuxce, j'avais un doute sur la traduction... comme on peut le voir sur mon message précédent: entre clé primaire (sql), principale et traduction littérale, je me suis un peu moins perdu que sur le wiki :chinois: ).
Ne pas oublier qu'on peut aussi règler les niveaux de vérification selon les dépôts.
ignace72 a écrit :Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?
Tu oublies un truc: Aur fourni l'archive permettant de construire le paquet, pas le paquet lui-même. Et, si je ne me trompe pas (je ne me suis pas trop renseigné là-dessus encore à vrai dire), il n'y a rien de prévu pour signer le .src.tar.gz (on pourrait imaginer le faire cependant, mais après se pose le problème de récupérer la clé publique du mainteneur, où les ranger, etc. ... mais à ce niveau, on ne pourrait pas se garantir de paquets malicieux de toutes manières: c'est vraiment à chacun de faire attention et de limiter l'usage des paquets d'AUR). Ça rentre dans la catégorie "paquets persos", même si la base est fournie par un tiers, donc c'est à toi de le signer ou pas (ce qui au final ne change rien).
Il faudra doubler les messages d'avertissements concernant l'usage d'Aur. :twisted:
«The following statement is not true. The previous statement is true.» :nage:
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour [résolu]

Message par ignace72 »

J'oublie pas, j'ai juste fais un raccourci.
Ma question était sur les paquet créé avec Yaourt. Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.
Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?
Avec ma configuration GPG de pacman, je n'ai aucune erreur de pacman donc je me pause la question.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [pacman] problème de mise à jour [résolu]

Message par FoolEcho »

ignace72 a écrit :J'oublie pas, j'ai juste fais un raccourci.
C'est plus pour donner des billes à ceux qui suivent le sujet et qui ne doivent pas manquer de se demander comment tout ça fonctionne et ce qu'on peut/pourra faire. ;)
ignace72 a écrit :Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.
On peut signer n'importe quoi. :)
ignace72 a écrit :Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?
Ce serait forcément avec ta clé privé (ou une autre) via makepkg. Mais pour un paquet qui ne vise pas à être distribué ça ne donne strictement rien, donc je gage qu'ils ne le sont pas. :)
Quelques infos:
Package_Signing_Proposal_for_Pacman
Pacman_package_signing
«The following statement is not true. The previous statement is true.» :nage:
Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03

Re: [pacman] Signature, clés principales, +/- fonctionnement

Message par tuxce »

yaourt utilise makepkg + pacman, ce qui s'applique à ces derniers s'applique aussi à yaourt.
Pour makepkg, la gestion des signature se situe à 2 niveaux:
- Vérification des sources. Une source dans le PKGBUILD de ce genre:

Code : Tout sélectionner

source=(uri://.../fichier_source.tar.gz{,.sig})
permettra à makepkg de vérifier la source, exemple torsocks
- Signature du paquet généré, mais pour une installation dans la foulé, c'est loin d'être nécessaire surtout si comme pour yaourt, vous lancez un pacman -U le_paquet donc en gros, pacman ne voit même pas la signature.
Ceci dit, la signature n'est pas par défaut dans makepkg, il faut l'activer dans le /etc/makepkg.conf
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] Signature, clés principales, +/- fonctionnement

Message par ignace72 »

Merci pour ces infos.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
onyx67
Elfe
Messages : 766
Inscription : dim. 06 nov. 2011, 18:12
Localisation : Alsace

Re: [pacman] Signature, clés principales, +/- fonctionnement

Message par onyx67 »

Bon, j'ai enfin eu un peu plus de temps pour me pencher plus sérieusement sur le wiki. J'ai donc importé les "master-keys", modifié le niveau de confiance et configuré /etc/pacman.conf.pacnew sur "SigLevel = Optionnal TrustedOnly".
Ça marche nickel.
Effectivement, comme indiqué dans le wiki, l'option "Optionnal TrustAll" n'existe qu'à des fins de debug.
Merci à tous, en particulier FoolEcho et ignace72
"La complication est un effet de la simplicité mal acquise"

Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] Signature, clés principales, +/- fonctionnement

Message par ignace72 »

De rien, j'ai beaucoup appris aussi venant du monde apt-get :copain:
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
djipey
Chu Ko Nu
Messages : 437
Inscription : sam. 04 juin 2011, 10:13

[pacman-key] quelques questions, bien sûr

Message par djipey »

Bonjour.

Pacman 4 est arrivé, avec la signature des paquets.
Avant, je suppose que les paquets n'étaient pas signés. J'ai du coup mis à jour pacman.conf, en suivant le wiki, mais je me pose plein de questions.

- Quand pour un dépôt, on met l'option "Optional", en fait on check la signature uniquement si le paquet qu'on veut installer est signé ?

- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?


Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [pacman] Signature, clés principales, +/- fonctionnement

Message par FoolEcho »

Tout ça est dans le wiki et voir man pacman.conf pour les détails.
djipey a écrit :- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?
Tu ne risques rien à l'import car pacman va vérifier à l'aide des clés principales si la clé à importer est valide (comme tu l'as vu, ou pas, à l'importation des clés principales: il faut aussi accorder la confiance à une clé). La confiance se base sur ta propre clé et les clés principales (on peut éventuellement rajouter d'autres clés ).
Pour les clés que tu n'arrives pas à rapatrier, ça doit être un problème de serveur: essaie en modifiant /etc/pacman.d/gnupg/gpg.conf avec keyserver hkp://pgp.mit.edu.
djipey a écrit :Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.
Elles ne le sont pas. Je pense que ça peut clarifier pour d'autres. :chinois:
Pour ceux qui n'ont pas encore franchi le pas, faut pas s'inquièter non plus: tant qu'il manque quelques briques et que rien n'est officiel, ça reste du test (d'ailleurs pour le moment, SigLevel est à Never par défaut).
«The following statement is not true. The previous statement is true.» :nage:
Répondre