[pacman 4.1] nvlles règles vérification signatures (résolu)

[falke]

salut,

Selon la dernière version de pacman.conf, les règles de vérifications de signature semblent avoir changé. Les règles seraient définies de façon globale,
alors qu'avant je les avais dépôt par dépôt (c'est pas moi qui l'ai inventé je n'avais fait que respecter les consignes)


Avant :

Code : Tout sélectionner

/var/cache/pacman/pkg[core]
SigLevel = PackageRequired
Include = /etc/pacman.d/mirrorlist

Maintenant :

Code : Tout sélectionner

# By default, pacman accepts packages signed by keys that its local keyring
# trusts (see pacman-key and its man page), as well as unsigned packages.
SigLevel    = Required DatabaseOptional
LocalFileSigLevel = Optional
#RemoteFileSigLevel = Required

Il n'y plus de règle définie en regard de chaque dépôt dans la nouvelle version du pacman.conf.

Est-ce normal ?

De plus le wiki sur pacman.key mentionne

Note: Pour l'option Required, la signature des bases de données étant encore à mettre en place à l'heure actuelle, il vous faudra utiliser pour installer de nouveaux paquets:
SigLevel = Required DatabaseOptional TrustedOnly

Or le pacman.conf livré spécifie seulement :

Code : Tout sélectionner

SigLevel    = Required DatabaseOptional

Que faire ?

[tuxce]

Que faire ?

Comprendre ce que font les options, extrapoler et ne pas confondre wiki et guide d'utilisation
(encore que... des guides qui couvrent tout, ça n'existe pas!)

Qu'elles soient définies globalement ou par dépôt n'a pas d'importance, le plus important est que chaque dépôt ait la configuration qu'il faut (ou celle que tu veux qu'il ait).
En l'occurrence, par défaut, tous les dépôts officiels ont la même politique concernant les signatures, c'est donc plutôt logique que la configuration soit globale.

Pour ce qui est du TrustedOnly, c'est l'option par défaut, la spécifier ou non revient au même.

[Elbarto]

moi ce qui m'embête c'est surtout la disparition de l'option "syncfirst", le reste ça n'a pas trop bougé, ça devrait passer comme une lettre à la poste pour ceux qui n'ont pas trop bidouillé leur config de pacman

[falke]

@ elbarto.

eh bien non Elbarto. Avant j'étais de ton avis , je trouvais syncfirst bien pratique.

Mais il se trouve qh'hier avec la maj de pacman, ça m'a mis le bouzin car pacman voulait se mettre à jour dans une version supérieure mais plusieurs paquets installés requérant pacman exigeaient une version inférieure de ce dernier.

Obnubilé par cette fonction syncfirst je persistais à répondre "O" à voulez-vous mettre d'abord à jour pacman. Or précisément c'était ces paquets réquérant pacman qu'il aurait fallu mettre à jour en premier afin qu'ils acceptent la nouvelle version de pacman. Donc la situation était bloquée , naturellement. En répondant non, ça a résolu le problème. Donc ce n'est pas non plus la panacée ce syncfirst et l'enlever nous demandera plus de réflexion sur ce qui se passe, ce qui n'est pas un mal.

[FoolEcho]

Obnubilé par cette fonction syncfirst je persistais à répondre "O" à voulez-vous mettre d'abord à jour pacman. Or précisément c'était ces paquets réquérant pacman qu'il aurait fallu mettre à jour en premier afin qu'ils acceptent la nouvelle version de pacman. Donc la situation était bloquée , naturellement. En répondant non, ça a résolu le problème. Donc ce n'est pas non plus la panacée ce syncfirst

Et c'est l'une des raisons qui ont conduit les dévs à l'enlever. Plus d'embrouilles que d'avantages (souvent des sujets là-dessus sur le forum).
Le fil si ça vous intéresse: https://mailman.archlinux.org/pipermail ... 15123.html.

[falke]

Je passe en résolu.

j'ai laissé l'option globale et spécifié une règle spécifique pour le dépôt archlinux.fr (SigLevel=Never) autrement la maj de yaourt buggait.

[Elbarto]

Obnubilé par cette fonction syncfirst je persistais à répondre "O" à voulez-vous mettre d'abord à jour pacman. Or précisément c'était ces paquets réquérant pacman qu'il aurait fallu mettre à jour en premier afin qu'ils acceptent la nouvelle version de pacman. Donc la situation était bloquée , naturellement. En répondant non, ça a résolu le problème. Donc ce n'est pas non plus la panacée ce syncfirst

Et c'est l'une des raisons qui ont conduit les dévs à l'enlever. Plus d'embrouilles que d'avantages (souvent des sujets là-dessus sur le forum).
Le fil si ça vous intéresse: https://mailman.archlinux.org/pipermail ... 15123.html.

moi j'utilisais le syncfirst pour le paquet chargé de récuperer les dernières signatures pour les clés, cela évitait d'avoir un message d'erreur ( signature inconnue ) si un nouveau paquet s'installe et que ce dernier utilise une signature trop récente,

cette option répondait à un besoin, j'espère que les développeurs trouveront une alternative pour gérer ce genre de cas, un pacman intelligent qui automatiquement mettrait à jour les paquets dans le bon ordre

[FoolEcho]

Au pire, tu peux rafraîchir manuellement. http://wiki.archlinux.fr/Pacman-key#Mai ... _trousseau