Archlinux.fr [Forums]

Finalement, j'ai réussi à installer pacman 4

J'ai exécuté sudo pacman-key --init et j'ai obtenu une clé "marquée comme ayant une confiance ultime".

J'ai voulu ensuite faire une mise à jour et voici ce que ça a donné ;

http://pastebin.archlinux.fr/435314

Toutes ces erreurs 404 m'inquiètent ...

Auriez-vous une explication/solution ?

EDIT : à noter que j'ai tenté l'installation et que ça a donné ceci :

http://pastebin.archlinux.fr/435315


Merci d'avance

Le fait qu'il retourne une erreur 404 est normal, les .sig pour les bases n'existent pas (encore ...) et les paquets ne sont pas tous signés.
Le fait qu'il te l'affiche est parce que tu as choisi d'utiliser wget à la place de l'outil interne (libcurl).

Merci à tous pour vos précisions. Comme le suggère FoolEcho, je vais clore ce topic. On va très certainement revenir sur le sujet une fois que le wiki français sur les clefs PGP sera prêt.

onyx67 a écrit :On va très certainement revenir sur le sujet une fois que le wiki français sur les clefs PGP sera prêt.

Il est prêt dans ses grandes lignes depuis un moment, il suffira de le compléter au fur et à mesure (pacman-key). Il présentait déjà comment récupèrer les clés et leur faire confiance + configuration au niveau de pacman.conf, il manquait essentiellement la partie sur les master keys ou passe-partout (qui vous permet de ne pas faire l'import des clés des développeurs et des utilisateurs de confiance d'Arch pour les paquets officiels car pacman le fera pour vous). De toutes manières, tant qu'il manque certaines parties (la signature des bases de données notamment) et tant que le feu vert officiel n'est pas donnée, ça n'est pas grave de conserver la configuration par défaut (c'est-à-dire pas de vérification)... j'imagine que les sujets ne manqueront pas de fleurir d'ici là...

À l'intention des éventuels contributeurs du wiki là-dessus (je mets ça ici mais peut-être le mettrai-je directement sur la page discussion du wiki): je pense que contrairement au wiki anglophone, on ne devra pas y mettre de scripts pour récupérer, signer et "truster" automatiquement (si un utilisateur veut utiliser ce type de script, c'est son choix, mais c'est quand même potentiellement dangereux).

Bon, j'ai configuré les Passe-partout comme indiqué dans le wiki et réglé pacman.conf avec « Optional TrustedOnly » plutôt que la validation auto que j'avais configuré.
Bon boulot, merci.

Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?

ignace72 a écrit :Bon, j'ai configuré les Passe-partout comme indiqué dans le wiki et réglé pacman.conf avec « Optional TrustedOnly » plutôt que la validation auto que j'avais configuré.

On parlera plutôt de clés principales (-- je rectifie avant que ça se répande de trop par ma faute -- merci à tuxce, j'avais un doute sur la traduction... comme on peut le voir sur mon message précédent: entre clé primaire (sql), principale et traduction littérale, je me suis un peu moins perdu que sur le wiki ).
Ne pas oublier qu'on peut aussi règler les niveaux de vérification selon les dépôts.

ignace72 a écrit :Avec Aur, les paquets créé pour pacman sont signé avec la clé perso ?

Tu oublies un truc: Aur fourni l'archive permettant de construire le paquet, pas le paquet lui-même. Et, si je ne me trompe pas (je ne me suis pas trop renseigné là-dessus encore à vrai dire), il n'y a rien de prévu pour signer le .src.tar.gz (on pourrait imaginer le faire cependant, mais après se pose le problème de récupérer la clé publique du mainteneur, où les ranger, etc. ... mais à ce niveau, on ne pourrait pas se garantir de paquets malicieux de toutes manières: c'est vraiment à chacun de faire attention et de limiter l'usage des paquets d'AUR). Ça rentre dans la catégorie "paquets persos", même si la base est fournie par un tiers, donc c'est à toi de le signer ou pas (ce qui au final ne change rien).
Il faudra doubler les messages d'avertissements concernant l'usage d'Aur.

J'oublie pas, j'ai juste fais un raccourci.
Ma question était sur les paquet créé avec Yaourt. Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.
Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?
Avec ma configuration GPG de pacman, je n'ai aucune erreur de pacman donc je me pause la question.

ignace72 a écrit :J'oublie pas, j'ai juste fais un raccourci.

C'est plus pour donner des billes à ceux qui suivent le sujet et qui ne doivent pas manquer de se demander comment tout ça fonctionne et ce qu'on peut/pourra faire.

ignace72 a écrit :Les sources de Aur étant diverse (sources, binaires …) il serait difficile de les signer.

On peut signer n'importe quoi.

ignace72 a écrit :Donc pour les paquets créé localement avec Yaourt, sont-ils signé et si oui, avec quelle clé ?

Ce serait forcément avec ta clé privé (ou une autre) via makepkg. Mais pour un paquet qui ne vise pas à être distribué ça ne donne strictement rien, donc je gage qu'ils ne le sont pas.
Quelques infos:
Package_Signing_Proposal_for_Pacman
Pacman_package_signing

yaourt utilise makepkg + pacman, ce qui s'applique à ces derniers s'applique aussi à yaourt.
Pour makepkg, la gestion des signature se situe à 2 niveaux:
- Vérification des sources. Une source dans le PKGBUILD de ce genre: permettra à makepkg de vérifier la source, exemple torsocks
- Signature du paquet généré, mais pour une installation dans la foulé, c'est loin d'être nécessaire surtout si comme pour yaourt, vous lancez un pacman -U le_paquet donc en gros, pacman ne voit même pas la signature.
Ceci dit, la signature n'est pas par défaut dans makepkg, il faut l'activer dans le /etc/makepkg.conf

Merci pour ces infos.

Bon, j'ai enfin eu un peu plus de temps pour me pencher plus sérieusement sur le wiki. J'ai donc importé les "master-keys", modifié le niveau de confiance et configuré /etc/pacman.conf.pacnew sur "SigLevel = Optionnal TrustedOnly".
Ça marche nickel.
Effectivement, comme indiqué dans le wiki, l'option "Optionnal TrustAll" n'existe qu'à des fins de debug.
Merci à tous, en particulier FoolEcho et ignace72

De rien, j'ai beaucoup appris aussi venant du monde apt-get

Bonjour.

Pacman 4 est arrivé, avec la signature des paquets.
Avant, je suppose que les paquets n'étaient pas signés. J'ai du coup mis à jour pacman.conf, en suivant le wiki, mais je me pose plein de questions.

- Quand pour un dépôt, on met l'option "Optional", en fait on check la signature uniquement si le paquet qu'on veut installer est signé ?

- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?


Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.

Tout ça est dans le wiki et voir man pacman.conf pour les détails.

djipey a écrit :- J'ai aussi rajouté l'option "TrustedOnly" aux dépôts core, extra et community. J'ai rajouté les 5 masters keys. Cependant, quand je veux installer des paquets (plus pécisément lors de mises à jour), pacman me demande si je veux importer la clé de tel ou tel développeur. Je ne sais en général pas de quel dépôt vient le paquet. Est-ce bien secure d'importer la clé quand Pacman me le demande ? Et des fois, la clé ne peut pas "to be looked up remotly". Qu'est ce que cela veut dire ?

Tu ne risques rien à l'import car pacman va vérifier à l'aide des clés principales si la clé à importer est valide (comme tu l'as vu, ou pas, à l'importation des clés principales: il faut aussi accorder la confiance à une clé). La confiance se base sur ta propre clé et les clés principales (on peut éventuellement rajouter d'autres clés ).
Pour les clés que tu n'arrives pas à rapatrier, ça doit être un problème de serveur: essaie en modifiant /etc/pacman.d/gnupg/gpg.conf avec keyserver hkp://pgp.mit.edu.

djipey a écrit :Désolé si ces questions vous paraissent bêtes, j'aimerais que ce soit clair pour moi.

Elles ne le sont pas. Je pense que ça peut clarifier pour d'autres.
Pour ceux qui n'ont pas encore franchi le pas, faut pas s'inquièter non plus: tant qu'il manque quelques briques et que rien n'est officiel, ça reste du test (d'ailleurs pour le moment, SigLevel est à Never par défaut).