[Pacman-key] Aide configuration [Résolu]

[Gr3e]

Bonjour, je vois que pacman-key arrive en force avec la nouvelle mise à jour, avant de faire des bétises je demande un peu d'aide.
Tout d'abord j'ai bien suivi le tuto de la news et jusque la tout va bien.

Ensuite j'aimerais profiter au maximum de ce bel outil mius en place alors si j'ai bien compris je dois :
faire un petit

Code : Tout sélectionner

pacman-key -r <0x6AC6A4C2> <0x824B18E8> <0x4C7EA887> <0xFFF979E7> <0xCDFD6BB0>

pour ajouter les master keys.

Ensiute j'ai un peu plus de mal à suivre. "Vous devrez ensuite signer localement ces clés et modifier leur niveau de confiance au moins à «marginal»:
pacman-key --edit-key <keyid> <keyid> <keyid> <keyid> <keyid>" = ???
Ensuite je modifie le pacman.conf et j'ajoute

Code : Tout sélectionner

[SigLevel = Required DatabaseOptional TrustedOnly/code].

Et la ne s'installeront que les paquets signés et vérifiés ?
Ou alors je n'ai rien compris :p

[jc51]

bonjour âpres les avoirs édité faut les signer et leur accorder un niveau de confiance

http://wiki.archlinux.fr/Pacman-key tous est expliqué


y a rien a rajouter dans le pacman.conf decomente juste SigLevel = Optional TrustedOnly

[FoolEcho]

Ensiute j'ai un peu plus de mal à suivre. "Vous devrez ensuite signer localement ces clés et modifier leur niveau de confiance au moins à «marginal»:
pacman-key --edit-key <keyid> <keyid> <keyid> <keyid> <keyid>" = ???

En fait, avec la mise à jour de pacman et l'arrivée du paquet archlinux-keyring, si tu n'avais pas déjà configuré pacman-key dans les derniers mois, tu peux aussi lancer directement pacman-key --populate archlinux. Par contre, fais bien attention de vérifier les empreintes des clés par rapport au site. Voir l'annonce: http://archlinux.fr/news/verification-d ... par-pacman

En fait, il faut mettre à jour notre wiki sur le populate (pour ceux qui ne lisent pas les messages de pacman ), ainsi que sur les SigLevel peut-être -- les dépôts ne sont pas encore signés (si c'est moi qui le fait, je laisserai tout de même la méthode manuelle avec toutes les étapes, ça permet de comprendre ce que fait le populate... ou de le faire soi-même).

Et dès fois que ça serve à d'autres qui tomberaient sur ce post, vu qu'on m'a déjà posé la question par MP: pour ceux qui utilisent déjà pacman-key depuis quelques mois, il n'y a ni init, ni populate à faire (juste vérifier lors de la mise à jour dans le log/la sortie de pacman que rien d'anormal ne s'est produit au niveau des clés principales dont vous disposez). Il faut simplement fusionner le pacman.conf avec le pacnew.
Dans le doute, vous pouvez bien sûr repartir de zéro, mais bon (voir wiki).

[raymondcal]

Bon, j’ai fait la MàJ de pacman, ça a lançé un téléchargement des clés, puis ça m’a demandé si je voulais les signer, et j’ai appuyé sur Enter à chaque fois (comme c’était le N qui était en majuscule, je pense que je n’ai rien signé du tout, en fait).
J’ai aussi bien décommenté SigLevel = Optional TrustedOnly dans pacman.conf

Et maintenant quand je veux installer un paquet (ici, la MàJ de postgresql-libs), ça me dit

Erreur : postgresql-libs: signature from "Dan McGee <dpmcgee@gmail.com>" is unknown trust
Erreur : la validation de la transaction a échoué (paquet invalide ou corrompu (signature PGP))
Des erreurs se sont produites, aucun paquet n'a été mis à jour.

Je crois que je vais désactiver cette histoire de clé, je vivais très bien sans…

[raymondcal]

Bon, j’ai activé SigLevel=Optional TrustAll et ça marche bien, maintenant.

[FoolEcho]

Bon, j’ai fait la MàJ de pacman, ça a lançé un téléchargement des clés, puis ça m’a demandé si je voulais les signer, et j’ai appuyé sur Enter à chaque fois (comme c’était le N qui était en majuscule, je pense que je n’ai rien signé du tout, en fait).

Bingo, tu n'as rien signé.

Bon, j’ai activé SigLevel=Optional TrustAll et ça marche bien, maintenant.

*Très* mauvaise idée. C'est le niveau de debug, tu acceptes tout et n'importe quoi ! Tu n'as plus qu'à refaire le trousseau et ça n'est pas compliqué, voir wiki (supprimer le trousseau ; init ; populate fait correctement)... et option dans pacman.conf (à fusionner avec le pacnew).

[raymondcal]

Oui, je suis allé la page http://wiki.archlinux.fr/Pacman-key, la page man de pacman.conf, et j’ai signé les clé et mis la bonne option et maintenant ça marche.
Pas très très user-friendly, tout ça…

[FoolEcho]

Tu rigoles ? Il n'y a que 3 choses à faire (init/clés principales/SigLevel).

Mais je te l'accorde, je ne suis pas trop satisfait du plan du wiki (comme c'est encore en plan, c'est probablement assez illisible, j'ai une idée simple en tête... à voir)...

[Ypnose]

D'ailleurs, si je ne me trompe pas, maintenant on n'a même plus à importer les clés (comme avant), tout se fait automatiquement via:

Code : Tout sélectionner

pacman-key --populate archlinux

Donc on a vu pire niveau difficulté.

[FoolEcho]

En effet.
Le wiki est à peu près retapé, je pense que c'est moins confondant qu'avant (certaines parties se marchaient sur les pieds du fait des évolutions successives de pacman-key, je pense ... j'ai, j'espère, à peu près garder les trucs intéressants). Pacman-key (je n'attends pas des fleurs, juste qu'on dise, notamment ceux qui ont des difficultés, si c'est davantage compréhensible )

[raymondcal]

Quand tu dis, dans l’installation automatique, qu’il faut se laisser guider, je suggère que tu rajoutes un truc dans le genre :
Il vous sera demandé si vous voulez signer les clés téléchargées avec votre propre clé GPG. Pour chaque clé, vérifiez bien si l’empreinte affichée correspond à l’empreinte fournie sur la page web des développeurs, et acceptez-en la signature.

Tiens, j’ai une question : si on n’a jamais utilisé GPG, on n’a donc pas de clé, et on pourra donc pas signer, n’est-ce pas ?

[FoolEcho]

La clé est faite par le init. Sans ça, effectivement tu ne peux rien faire (je n'ai pas vérifié, mais j'imagine que le populate t'informe s'il n'y a pas de clé disponible).

Pour le wiki, j'ai un peu détaillé (n'oubliez pas que quiconque est inscrit sur le forum peut aussi faire des modifs ).

[Gr3e]

Merci pour l'update du wiki, c'est beaucoup plus clair maintenant !
Ca bouge du côté de notre distrib préférée c'est chouette !

[Ypnose]

De mon côté le paquet "archlinux-keyring" a ajouté les clefs additionnelles (34 sur 60). Il n'est pas nécessaire de lancer les commandes préconisées pour ceux qui utilisent les signatures depuis un moment.
Il faut juste penser à regarder les changements dans le pacman.conf.pacnew et aussi les appliquer.
Je vais le préciser sur le wiki dès que possible.

[Gr3e]

Je passe tout de même en résolu