Page 1 sur 2
[pacman] Signature, clés principales, +/- fonctionnement
Publié : mar. 17 janv. 2012, 20:13
par ignace72
[EDIT]split depuis http://forums.archlinux.fr/topic10109.html[/EDIT]
C'est réglé avec la configuration standard de pacman.conf (sans SigLevel = Never).
faire un :
exemple :
Code : Tout sélectionner
/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub 2048R/23A5AA99 2012-01-17
uid Pacman Keychain Master Key <pacman@localhost>
pub 4096R/2D1493D2 2011-02-16
uid Rémy Oudompheng <remy@archlinux.org>
uid Rémy Oudompheng <oudomphe@phare.normalesup.org>
sub 4096R/2DCC038A 2011-02-16
vous prenez la clé qui n'est pas en confiance et vous lui faite un :
Et l'installations et mises à jour fonctionnent.
Re: [pacman] problème de mise à jour
Publié : mar. 17 janv. 2012, 20:26
par Elbarto
The Cat a écrit :
Vous trouvez ça normal, d'être obligé de faire tout ça après une simple MAJ???
en gros la mise à jour de "pacman 4.0" n'est pas très "kiss",
pour être clair voici la solution selon les divers scénarios :
1) si un fichier pacman.conf.pacnew a été crée par la mise à jour et que l'utilisateur n'a jamais modifié son fichier pacman.conf alors il suffit de supprimer le fichier pacman.conf et de renommer le fichier "pacman.conf.pacnew" en pacman.conf,
2) si un fichier pacman.conf.pacnew a été crée par la mise à jour et que l'utilisateur avait modifié son fichier pacman.conf pour mettre des préférences ( dépots personnalisés, paquets bloqués pour la mise à jour ) alors il faut fusionner le fichier pacman.conf.pacnew et le fichier pacman.conf, un seul fichier pacman.conf doit exister, le pacman.conf.pacnew doit être supprimé ensuite
Re: [pacman] problème de mise à jour
Publié : mar. 17 janv. 2012, 20:50
par tuxce
Si tu entends par "kiss" le fait que ça soit automatique, avec des décisions selon ta configuration mais prises par les devs, effectivement, ce n'est pas "kiss", mais encore une fois, vous vous trompez sur le but d'Arch. Ce dernier n'est pas de faciliter l'utilisation mais de donner les outils pour comprendre la configuration, après, si ça rend l'utilisation plus simple et donne une impression de rapidité ... c'est un "avantage collatéral".
Re: [pacman] problème de mise à jour
Publié : mar. 17 janv. 2012, 20:53
par ignace72
C'est la différence entre facilité et simplicité !
Re: [pacman] problème de mise à jour
Publié : mar. 17 janv. 2012, 22:12
par CyDes
Record de post aujourd'hui sur le forum ??? Je me trompe ??
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 04:36
par ignace72
Ça se comprend, non ?
Bon, avec l’option « SigLevel = Optional TrustAll », tout est automatique pour chaque nouvelle clé (niveau de confiance compris).
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 16:26
par Leo 7
Merci pour les tuyaux !
Ça m'a ete d'une grande aide.
Jcommençais à paniquer
A+
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 16:40
par oktoberfest
kamui57 a écrit :Sabaku : il génère la clé à partir de désordre (entropie), jsais pas trop comment, mais il calcule, donc c'est un peu lent. Et s'il n'arrive pas à générer la clé du premier couo, il faut faire des trucs sur le pc, genre bouger la souris, pour générer de l'entropie et qu'il finisse.
Un autre méthode pour ceux qui ne veulent/peuvent pas bouger la souris comme un fou (connexion ssh par exemple) est d'installer rng-tools (cf wiki anglophone ici :
https://wiki.archlinux.org/index.php/Pa ... entropy.3F)
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 19:54
par ignace72
grosse mise à jour (Linux 3.2 …) et aucun soucis avec les clés.
C'est tout bon.
Un (résolu) dans le sujet ?
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 20:38
par sztruks
Je me suis jeté à l’eau pour générer les clefs mais je bloque sur le pacman-key --edit-key tsign: suivant le conseil du blog d’Allan, j’ai répondu "marginal" à la première question et je me retrouve avec cette question:
Entrez la profondeur de cette signature de confiance.
Une profondeur supérieure à 1 permet à la clé que vous signez de faire
des signatures de confiance de votre part.
Votre choix ?
Quelle réponse conseille-t-on? 1?
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 20:55
par ignace72
J'ai trouvé mieux :
Tu sors de « pacman-key --edit-key tsign ».
Tu fais un :
exemple :
Code : Tout sélectionner
/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub 2048R/23A5AA99 2012-01-17
uid Pacman Keychain Master Key <pacman@localhost>
pub 4096R/2D1493D2 2011-02-16
uid Rémy Oudompheng <remy@archlinux.org>
uid Rémy Oudompheng <oudomphe@phare.normalesup.org>
sub 4096R/2DCC038A 2011-02-16
tu prens la clé qui n'est pas en confiance et tu lui fais un :
(dans l'exemple c'est la clé de Rémy Oudompheng qui ne passait pas)
Sinon, tu mets « SigLevel = Optional TrustAll » danc /etc/pacman.conf qui fait tout automatiquement.
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 21:11
par ignace72
Si « SigLevel = Optional TrustAll » ne fonctionne pas,
Supprimer dans /etc/pacman.d/gnupg/ les fichiers :
pubring.gpg secring.gpg trustdb.gpg
Faire un « pacman-key --init ».
Avec « SigLevel = Optional TrustAll » activé, ça devrait fonctionner.
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 22:06
par sztruks
Ça fonctionne bien avec le Optional TrustAll, par contre avec le Optional TrustedOnly, je ne raconte pas…
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 22:13
par ignace72
, wep j'avais testé.
Re: [pacman] problème de mise à jour
Publié : mer. 18 janv. 2012, 23:00
par onyx67
ignace72 a écrit :J'ai trouvé mieux :
Tu sors de « pacman-key --edit-key tsign ».
Tu fais un :
exemple :
Code : Tout sélectionner
/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub 2048R/23A5AA99 2012-01-17
uid Pacman Keychain Master Key <pacman@localhost>
pub 4096R/2D1493D2 2011-02-16
uid Rémy Oudompheng <remy@archlinux.org>
uid Rémy Oudompheng <oudomphe@phare.normalesup.org>
sub 4096R/2DCC038A 2011-02-16
tu prens la clé qui n'est pas en confiance et tu lui fais un :
(dans l'exemple c'est la clé de Rémy Oudompheng qui ne passait pas)
Sinon, tu mets « SigLevel = Optional TrustAll » danc /etc/pacman.conf qui fait tout automatiquement.
Désolé, mais je n'ai pas tout compris je pense. Comment reconnaître une clef de confiance?
Voici la sortie de
Code : Tout sélectionner
/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub 2048R/B7F4AEA9 2012-01-16
uid Pacman Keychain Master Key <pacman@localhost>
pub 2048R/615137BC 2011-04-19
uid Ionut Biru <ibiru@archlinux.org>
sub 2048R/0B33E3B3 2011-04-19
pub 2048R/F56C0C53 2011-06-25
uid Dave Reisner <d@falconindy.com>
uid Dave Reisner <dreisner@archlinux.org>
sub 2048R/114BFFA5 2011-06-25
pub 2048R/0F2A092B 2011-05-14
uid Andreas Radke <andyrtr@archlinux.org>
sub 2048R/53AF8961 2011-05-14
Quelqu'un peut-il me préciser?
Merci
Re: [pacman] problème de mise à jour
Publié : jeu. 19 janv. 2012, 00:29
par ignace72
Salut,
Si on reprend ton fichier :
Code : Tout sélectionner
pub 2048R/B7F4AEA9 2012-01-16
uid Pacman Keychain Master Key <pacman@localhost>
pub 2048R/615137BC 2011-04-19
uid Ionut Biru <ibiru@archlinux.org>
sub 2048R/0B33E3B3 2011-04-19
pub 2048R/F56C0C53 2011-06-25
uid Dave Reisner <d@falconindy.com>
uid Dave Reisner <dreisner@archlinux.org>
sub 2048R/114BFFA5 2011-06-25
pub 2048R/0F2A092B 2011-05-14
uid Andreas Radke <andyrtr@archlinux.org>
sub 2048R/53AF8961 2011-05-14
La première clé est celle de ton système, c'est celle qui a la confiance la plus élevé pour pacman.
Les suivantes sont les clés des développeurs.
C'est toi qui indique a ton système si c'est des clés de confiance ou pas.
Manuellement par « pacman-key --lsign-key » ou automatiquement par « SigLevel = Optional TrustAll » dans pacman.conf.
Re: [pacman] problème de mise à jour
Publié : jeu. 19 janv. 2012, 00:44
par onyx67
>ignace72: merci pour tes explications, c'est très clair.
Re: [pacman] problème de mise à jour
Publié : jeu. 19 janv. 2012, 01:07
par ignace72
De rien
Re: [pacman] problème de mise à jour
Publié : jeu. 19 janv. 2012, 10:24
par FoolEcho
ignace72 a écrit :La première clé est celle de ton système, c'est celle qui a la confiance la plus élevé pour pacman.
Les suivantes sont les clés des développeurs.
C'est toi qui indique a ton système si c'est des clés de confiance ou pas.
Manuellement par « pacman-key --lsign-key » ou automatiquement par « SigLevel = Optional TrustAll » dans pacman.conf.
Presque rien à redire par rapport à la configuration actuelle de onyx67, juste quelques précisions (vu que je vens de le faire pour mon eeepc -- quitte à exploser une machine
):
- si tu veux un vrai niveau de confiance, il serait préférable de ne pas aller chercher directement les clés des développeurs justement, mais les "master keys" car ce sont elles qui servent à signer les clés des développeurs et mainteneurs des paquets. Selon les règles en la matière, au moins 3 de ces clés (y en a 5 à l'heure actuelle) doivent servir pour signer les clés des autres développeurs.
Pour le reste ignace72 a tout dit: tu créés ta propre clé, tu l'utilises pour signer les clés récupérées (les 5 maîtres donc) et tu attribues à chacune un niveau de confiance (3 minimum pour pouvoir s'en servir comme clé de confiance justement). Ensuite avec SigLevel placé en "Optional TrustedOnly", pacman te proposera au fur et à mesure d'importer les clés qu'il trouve en se servant des clés maitres signés pour vérifier leur validité.
(maintenant le truc à faire: caser 3 des 5 clefs à des niveaux bas de confiance et essayer d'installer quelque chose...
quelqu'un a testé ?
)
Mais en attendant de peaufiner le wiki et tout le reste (le couplet sur les clés maîtres est tout frais dans le wiki anglophone et manquant chez nous pour le moment), il serait sans doute préférable d'ouvrir un sujet sur ces histoires de signatures si vous avez des questions.
Ah oui, les clés principales sont là (indiquées par le wiki anglophone sur pacman-key):
https://www.archlinux.org/master-keys/
Re: [pacman] problème de mise à jour
Publié : jeu. 19 janv. 2012, 10:54
par ignace72
Bien dit, mais je n'ai pas creusé jusque-là.
Mon objectif était de pouvoir continuer à installer les mises à jour le plus proprement sans dire trop de conneries
.
Il est certain que principe de passer par les clés maîtres est la meilleure solution (le même principe que les groupes pour les permissions Unix), mais n'étant pas sûr de moi là-dessus, j'ai préféré m'abstenir.