[pacman] Signature, clés principales, +/- fonctionnement

Questions et astuces concernant l'installation et la configuration d'archlinux
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

[pacman] Signature, clés principales, +/- fonctionnement

Message par ignace72 »

[EDIT]split depuis http://forums.archlinux.fr/topic10109.html[/EDIT]
C'est réglé avec la configuration standard de pacman.conf (sans SigLevel = Never).

faire un :

Code : Tout sélectionner

sudo pacman-key -l
exemple :

Code : Tout sélectionner

/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub   2048R/23A5AA99 2012-01-17
uid                  Pacman Keychain Master Key <pacman@localhost>

pub   4096R/2D1493D2 2011-02-16
uid                  Rémy Oudompheng <remy@archlinux.org>
uid                  Rémy Oudompheng <oudomphe@phare.normalesup.org>
sub   4096R/2DCC038A 2011-02-16
vous prenez la clé qui n'est pas en confiance et vous lui faite un :

Code : Tout sélectionner

sudo pacman-key --lsign-key 2D1493D2
Et l'installations et mises à jour fonctionnent.
Dernière modification par ignace72 le mar. 17 janv. 2012, 20:55, modifié 1 fois.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Elbarto
Elfe
Messages : 671
Inscription : jeu. 22 déc. 2011, 23:15

Re: [pacman] problème de mise à jour

Message par Elbarto »

The Cat a écrit :
Vous trouvez ça normal, d'être obligé de faire tout ça après une simple MAJ???
en gros la mise à jour de "pacman 4.0" n'est pas très "kiss",

pour être clair voici la solution selon les divers scénarios :

1) si un fichier pacman.conf.pacnew a été crée par la mise à jour et que l'utilisateur n'a jamais modifié son fichier pacman.conf alors il suffit de supprimer le fichier pacman.conf et de renommer le fichier "pacman.conf.pacnew" en pacman.conf,

2) si un fichier pacman.conf.pacnew a été crée par la mise à jour et que l'utilisateur avait modifié son fichier pacman.conf pour mettre des préférences ( dépots personnalisés, paquets bloqués pour la mise à jour ) alors il faut fusionner le fichier pacman.conf.pacnew et le fichier pacman.conf, un seul fichier pacman.conf doit exister, le pacman.conf.pacnew doit être supprimé ensuite
Avatar de l’utilisateur
tuxce
Maître du Kyudo
Messages : 6677
Inscription : mer. 12 sept. 2007, 16:03

Re: [pacman] problème de mise à jour

Message par tuxce »

Si tu entends par "kiss" le fait que ça soit automatique, avec des décisions selon ta configuration mais prises par les devs, effectivement, ce n'est pas "kiss", mais encore une fois, vous vous trompez sur le but d'Arch. Ce dernier n'est pas de faciliter l'utilisation mais de donner les outils pour comprendre la configuration, après, si ça rend l'utilisation plus simple et donne une impression de rapidité ... c'est un "avantage collatéral".
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

C'est la différence entre facilité et simplicité !
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
CyDes
Daikyu
Messages : 71
Inscription : mar. 08 juin 2010, 21:41
Localisation : Nantes

Re: [pacman] problème de mise à jour

Message par CyDes »

Record de post aujourd'hui sur le forum ??? Je me trompe ?? :bravo:
Quand vous avez tout essayé, lisez le mode d'emploi...
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

Ça se comprend, non ?

Bon, avec l’option « SigLevel = Optional TrustAll », tout est automatique pour chaque nouvelle clé (niveau de confiance compris).
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
Leo 7
Daikyu
Messages : 75
Inscription : dim. 09 oct. 2011, 15:12

Re: [pacman] problème de mise à jour

Message par Leo 7 »

Merci pour les tuyaux ! :)
Ça m'a ete d'une grande aide.
Jcommençais à paniquer :lol:

A+
hp 625 Archlinux i3 en dualscreen avec hp x2301
Mac Mini: Debian ppc lxde + xbmc > Media Center
oktoberfest
Maître du Kyudo
Messages : 1855
Inscription : mer. 06 janv. 2010, 13:51
Localisation : Ried - Alsace - France

Re: [pacman] problème de mise à jour

Message par oktoberfest »

kamui57 a écrit :Sabaku : il génère la clé à partir de désordre (entropie), jsais pas trop comment, mais il calcule, donc c'est un peu lent. Et s'il n'arrive pas à générer la clé du premier couo, il faut faire des trucs sur le pc, genre bouger la souris, pour générer de l'entropie et qu'il finisse.
Un autre méthode pour ceux qui ne veulent/peuvent pas bouger la souris comme un fou (connexion ssh par exemple) est d'installer rng-tools (cf wiki anglophone ici : https://wiki.archlinux.org/index.php/Pa ... entropy.3F)
La majorité des bugs se situe entre la chaise et le clavier...
Arrêtez de vous prendre la tête avec les partitions... passez au LVM
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

grosse mise à jour (Linux 3.2 …) et aucun soucis avec les clés.
C'est tout bon.

Un (résolu) dans le sujet ?
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
sztruks
archer
Messages : 126
Inscription : mer. 30 mars 2011, 20:45
Localisation : Varsovie

Re: [pacman] problème de mise à jour

Message par sztruks »

Je me suis jeté à l’eau pour générer les clefs mais je bloque sur le pacman-key --edit-key tsign: suivant le conseil du blog d’Allan, j’ai répondu "marginal" à la première question et je me retrouve avec cette question:
Entrez la profondeur de cette signature de confiance.
Une profondeur supérieure à 1 permet à la clé que vous signez de faire
des signatures de confiance de votre part.

Votre choix ?
Quelle réponse conseille-t-on? 1?
Image
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

J'ai trouvé mieux :

Tu sors de « pacman-key --edit-key tsign ».

Tu fais un :

Code : Tout sélectionner

sudo pacman-key -l
exemple :

Code : Tout sélectionner

/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub   2048R/23A5AA99 2012-01-17
uid                  Pacman Keychain Master Key <pacman@localhost>

pub   4096R/2D1493D2 2011-02-16
uid                  Rémy Oudompheng <remy@archlinux.org>
uid                  Rémy Oudompheng <oudomphe@phare.normalesup.org>
sub   4096R/2DCC038A 2011-02-16
tu prens la clé qui n'est pas en confiance et tu lui fais un :

Code : Tout sélectionner

sudo pacman-key --lsign-key 2D1493D2
(dans l'exemple c'est la clé de Rémy Oudompheng qui ne passait pas)

Sinon, tu mets « SigLevel = Optional TrustAll » danc /etc/pacman.conf qui fait tout automatiquement.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

Si « SigLevel = Optional TrustAll » ne fonctionne pas,
Supprimer dans /etc/pacman.d/gnupg/ les fichiers :
pubring.gpg secring.gpg trustdb.gpg

Faire un « pacman-key --init ».
Avec « SigLevel = Optional TrustAll » activé, ça devrait fonctionner.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
sztruks
archer
Messages : 126
Inscription : mer. 30 mars 2011, 20:45
Localisation : Varsovie

Re: [pacman] problème de mise à jour

Message par sztruks »

Ça fonctionne bien avec le Optional TrustAll, par contre avec le Optional TrustedOnly, je ne raconte pas…
Image
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

:lol:, wep j'avais testé.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
onyx67
Elfe
Messages : 766
Inscription : dim. 06 nov. 2011, 18:12
Localisation : Alsace

Re: [pacman] problème de mise à jour

Message par onyx67 »

ignace72 a écrit :J'ai trouvé mieux :

Tu sors de « pacman-key --edit-key tsign ».

Tu fais un :

Code : Tout sélectionner

sudo pacman-key -l
exemple :

Code : Tout sélectionner

/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub   2048R/23A5AA99 2012-01-17
uid                  Pacman Keychain Master Key <pacman@localhost>

pub   4096R/2D1493D2 2011-02-16
uid                  Rémy Oudompheng <remy@archlinux.org>
uid                  Rémy Oudompheng <oudomphe@phare.normalesup.org>
sub   4096R/2DCC038A 2011-02-16
tu prens la clé qui n'est pas en confiance et tu lui fais un :

Code : Tout sélectionner

sudo pacman-key --lsign-key 2D1493D2
(dans l'exemple c'est la clé de Rémy Oudompheng qui ne passait pas)

Sinon, tu mets « SigLevel = Optional TrustAll » danc /etc/pacman.conf qui fait tout automatiquement.
Désolé, mais je n'ai pas tout compris je pense. Comment reconnaître une clef de confiance?

Voici la sortie de

Code : Tout sélectionner

pacman-key -l

Code : Tout sélectionner

/etc/pacman.d/gnupg/pubring.gpg
-------------------------------
pub   2048R/B7F4AEA9 2012-01-16
uid                  Pacman Keychain Master Key <pacman@localhost>

pub   2048R/615137BC 2011-04-19
uid                  Ionut Biru <ibiru@archlinux.org>
sub   2048R/0B33E3B3 2011-04-19

pub   2048R/F56C0C53 2011-06-25
uid                  Dave Reisner <d@falconindy.com>
uid                  Dave Reisner <dreisner@archlinux.org>
sub   2048R/114BFFA5 2011-06-25

pub   2048R/0F2A092B 2011-05-14
uid                  Andreas Radke <andyrtr@archlinux.org>
sub   2048R/53AF8961 2011-05-14
Quelqu'un peut-il me préciser?
Merci
"La complication est un effet de la simplicité mal acquise"

Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

Salut,

Si on reprend ton fichier :

Code : Tout sélectionner

pub   2048R/B7F4AEA9 2012-01-16
uid                  Pacman Keychain Master Key <pacman@localhost>

pub   2048R/615137BC 2011-04-19
uid                  Ionut Biru <ibiru@archlinux.org>
sub   2048R/0B33E3B3 2011-04-19

pub   2048R/F56C0C53 2011-06-25
uid                  Dave Reisner <d@falconindy.com>
uid                  Dave Reisner <dreisner@archlinux.org>
sub   2048R/114BFFA5 2011-06-25

pub   2048R/0F2A092B 2011-05-14
uid                  Andreas Radke <andyrtr@archlinux.org>
sub   2048R/53AF8961 2011-05-14
La première clé est celle de ton système, c'est celle qui a la confiance la plus élevé pour pacman.
Les suivantes sont les clés des développeurs.
C'est toi qui indique a ton système si c'est des clés de confiance ou pas.
Manuellement par « pacman-key --lsign-key » ou automatiquement par « SigLevel = Optional TrustAll » dans pacman.conf.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
onyx67
Elfe
Messages : 766
Inscription : dim. 06 nov. 2011, 18:12
Localisation : Alsace

Re: [pacman] problème de mise à jour

Message par onyx67 »

>ignace72: merci pour tes explications, c'est très clair.
"La complication est un effet de la simplicité mal acquise"

Intel i5-2320; Nvidia GeForce GT 520; ATA Hitachi 2To; ArchLinux-KDE
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

De rien :D
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [pacman] problème de mise à jour

Message par FoolEcho »

ignace72 a écrit :La première clé est celle de ton système, c'est celle qui a la confiance la plus élevé pour pacman.
Les suivantes sont les clés des développeurs.
C'est toi qui indique a ton système si c'est des clés de confiance ou pas.
Manuellement par « pacman-key --lsign-key » ou automatiquement par « SigLevel = Optional TrustAll » dans pacman.conf.
Presque rien à redire par rapport à la configuration actuelle de onyx67, juste quelques précisions (vu que je vens de le faire pour mon eeepc -- quitte à exploser une machine :mrgreen: ):
- si tu veux un vrai niveau de confiance, il serait préférable de ne pas aller chercher directement les clés des développeurs justement, mais les "master keys" car ce sont elles qui servent à signer les clés des développeurs et mainteneurs des paquets. Selon les règles en la matière, au moins 3 de ces clés (y en a 5 à l'heure actuelle) doivent servir pour signer les clés des autres développeurs.
Pour le reste ignace72 a tout dit: tu créés ta propre clé, tu l'utilises pour signer les clés récupérées (les 5 maîtres donc) et tu attribues à chacune un niveau de confiance (3 minimum pour pouvoir s'en servir comme clé de confiance justement). Ensuite avec SigLevel placé en "Optional TrustedOnly", pacman te proposera au fur et à mesure d'importer les clés qu'il trouve en se servant des clés maitres signés pour vérifier leur validité.

(maintenant le truc à faire: caser 3 des 5 clefs à des niveaux bas de confiance et essayer d'installer quelque chose... :fou: quelqu'un a testé ? :mrgreen: )

Mais en attendant de peaufiner le wiki et tout le reste (le couplet sur les clés maîtres est tout frais dans le wiki anglophone et manquant chez nous pour le moment), il serait sans doute préférable d'ouvrir un sujet sur ces histoires de signatures si vous avez des questions. :chinois:

Ah oui, les clés principales sont là (indiquées par le wiki anglophone sur pacman-key): https://www.archlinux.org/master-keys/ :chinois:
«The following statement is not true. The previous statement is true.» :nage:
ignace72
Elfe
Messages : 520
Inscription : ven. 09 sept. 2011, 14:21

Re: [pacman] problème de mise à jour

Message par ignace72 »

Bien dit, mais je n'ai pas creusé jusque-là.
Mon objectif était de pouvoir continuer à installer les mises à jour le plus proprement sans dire trop de conneries :D.
Il est certain que principe de passer par les clés maîtres est la meilleure solution (le même principe que les groupes pour les permissions Unix), mais n'étant pas sûr de moi là-dessus, j'ai préféré m'abstenir.
AMD Ryzen 3 1200 Quad-Core,32 Go de Ram DDR4, Wifi, USB3, S-ATA 3
21,5" LCD x2 sur AMD FirePro W5000 (pilote libre radeon).
KDE et BÉPO.
Site perso : https://ignace72.eu
Répondre