Arch Linux signe ses paquets !

Posté par Arthur Accroc le 05 juin 2012 à 15:20. Édité par Florent Zara. Modéré par Nÿco. Licence CC By‑SA.

Étiquettes : aucune

juin

2012

Le reproche souvent fait à Arch Linux était l’absence de vérification de signature de ses paquets. Eh bien, quelques mois après le dixième anniversaire de cette distribution, c’est réglé.

NdM : merci à Arthur Accroc pour son journal.

Cela fait un certain temps que c’était « sur le feu », avec des discussions entre les développeurs, la mise au point de la solution retenue, de la chaîne de signatures et la signature des paquets des dépôts.

Si vous avez déjà une Arch Linux, comme d’habitude elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur ; ce sera donc à vous de reprendre dans votre fichier de configuration /etc/pacman.conf les modifications de la nouvelle version (enregistrée sous le nom pacman.conf.pacnew ; meld` est votre ami) pour que cette fonctionnalité soit activée.

Logiquement, si vous installez depuis la « core image » actuelle, ce devrait être le cas aussi, mais si vous installez depuis la « netinstall image », la vérification des paquets sera peut-être activée directement…

Aller plus loin

Vérification des paquets par Pacman (194 clics)
Les dix ans d'Arch Linux (179 clics)
Having pacman verify packages (40 clics)
Journal à l'origine de la dépêche (68 clics)

# elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur

Posté par __o le 05 juin 2012 à 15:34. Évalué à 5.
elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur

C'est vrai ça ? ça doit être très lourd de maintenir une Arch Linux en état de fonctionnement au fil des mises à jour.

Sur Debian, et probablement d'autres, ça fonctionne de la façon suivante:
- Si le fichier de config n'a pas été modifié par l'admin, il est remplacé par la nouvelle version
- Sinon, le système laisse le choix à l'admin (remplacer, garder la version actuelle, comparer, etc)
Du coup je laisse la distribution s'occuper des fichiers de config dont je ne m'occupe pas moi même (95% des fichiers dans /etc), et pour le reste la distrib me prévient.
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par gnumdk (site web personnel) le 05 juin 2012 à 15:51. Évalué à 3.
  
  C'est pas très compliqué, il suffit de suivre:
  http://www.archlinux.org/news/
  
  Sinon, il se passe la meme chose avec Arch, il y'a un fichier .pacnew en cas de mise à jour à faire…
  - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
    
    Posté par GEDsismik (site web personnel) le 05 juin 2012 à 16:39. Évalué à 5.
    
    Comme sous Slackware où les nouveaux fichiers de configuration on un suffixe .new.
    - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
      
      Posté par Misc (site web personnel) le 06 juin 2012 à 07:27. Évalué à -2.
      
      Comme les rpmnew ( pour les paquets rpm ). En fait, je me demande donc quel distro ne fait pas ça, vu que gentoo fait ça aussi.
      
      En fait, est ce que ça voudrait dire que finalement, les gens mettent en avant une feature de archlinux que toutes les distros proposent ? ( ce qui ne fait que renforcer mon opinion des archeux )
      - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par gnumdk (site web personnel) le 06 juin 2012 à 08:46. Évalué à 4.
        
        En fait, est ce que ça voudrait dire que finalement, les gens mettent en avant une feature de
        archlinux que toutes les distros proposent ? ( ce qui ne fait que renforcer mon opinion des
        archeux )
        
        Faux, c'est lui qui dit que Arch ne le fait pas, à aucun moment je dis que c'est la révolution…
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par Nonolapéro le 05 juin 2012 à 15:52. Évalué à 2. Dernière modification le 05 juin 2012 à 15:52.
  
  Les nouvelles versions des fichiers de configuration sont installés mais en ajoutant l'extension .pacnew pour ne pas écraser la configuration existante. Après c'est à l'administrateur de la machine de mettre à jour ou non le fichier existant.
  
  Édition : grillé !
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par sedutom le 05 juin 2012 à 15:52. Évalué à 2. Dernière modification le 05 juin 2012 à 15:54.
  
  Lors de la mise à jour, pacman prévient qu'il y a un nouveau fichier de configuration et demande à l'utilisateur de manuellement fusionner les fichiers.
  
  C'est un peu fastidieux parfois — bien qu'au final les mises à jour des fichiers de configuration soient rares — mais cela permet de vérifier ses fichiers.
  
  Pour ma part, je crée un patch avec la commande diff, regarde les modifications (en gardant les paramètres personnalisés) et applique le patch, c'est très rapide.
  - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
    
    Posté par Spyhawk le 05 juin 2012 à 15:55. Évalué à 3.
    
    pacdiff (dans pacman-contrib) est ton ami.
    - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
      
      Posté par dguihal le 05 juin 2012 à 15:58. Évalué à 3.
      
      yaourt est votre ami :
      
      $ yaourt -C
      
      et y'a plus qu'a se laisser guider :)
      - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Spyhawk le 05 juin 2012 à 16:03. Évalué à 2.
        
        Oui, pour ceux qui utilisent yaourt, un outil est spécialement prévu pour merger les fichiers de conf (pacdiffviewer). Pour ceux qui sont allergiques à yaourt (comme moi), il y a pacdiff :]
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par sedutom le 05 juin 2012 à 16:20. Évalué à -2.
        
        Tu n'utilises aucun paquet AUR ?
        
        C'est fou, Archlinux est en train de devenir trop grand public, tout est pré-mâché, pourquoi pas une interface graphique (brrrr) :p
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Pierre Carrier le 05 juin 2012 à 16:27. Évalué à 2.
        
        Il y a un paquet d'alternatives à yaourt si tu veux automatiser autour d'AUR. J'utilise packer.
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Spyhawk le 05 juin 2012 à 16:30. Évalué à 2.
        
        Il n'y a pas que yaourt qui existe. En fait, la liste est plutôt longue :]
        
        Yaourt est surtout utilisé dans la communauté francophone (d'où il est originaire), mais beaucoup moins dans la communauté anglo-saxonne/internationale. Les alternatives les plus courantes inclues packer, aurget, paktahn, voir le minimaliste cower.
        
        J'utilise personellement mon propre AUR helper (pacaur, utilisant cower comme moteur) et étonnamment, c'est le seul qui réponde entièrement à mes besoins :]
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par sedutom le 05 juin 2012 à 16:57. Évalué à 1.
        
        Je me souviens avoir vu les alternatives mais j'ai utilisé yaourt au départ car il possède une page dans le wiki officiel et il fonctionne très bien donc je n'ai pas été tenté d'aller voir ailleurs.
        
        Je viens de lire rapidement la page de packer par exemple et ils parlent de la rapidité de recherche de celui ci comparé à yaourt mais en faisant le même bench sur mon système (time (pacman -Ss firefox)) j'obtiens :
        
        real 0m0.324s
        user 0m0.173s
        sys 0m0.020s
        
        Je pense que depuis yaourt a du progresser aussi et je ne suis pas au 1/3 de seconde près pour mes recherches ;)
        
        Y-a t'il des avantages à en changer maintenant ?
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Spyhawk le 06 juin 2012 à 07:16. Évalué à 2. Dernière modification le 06 juin 2012 à 07:19.
        
        Packer a effectivement été développé lorsque yaourt était très lent (ca s'est corrigé depuis).
        
        Après, si tu es content de yaourt, ne change pas. A l'époque, je suis passé à Clyde pace qu'outre plus rapide, il était aussi bien moins chiant à utiliser que yaourt: moins de prompt utilisateur, moins de y/n à entrer à tout bout de champs.
        
        Après quelques mois d'egarement et divers test (clyde étant non maintenu et devenu obsolète depuis), j'ai finalemen opté pour écrire mon propre wrapper (pacaur) en utilisant quelques bonnes idées piquées ici et là dans les wrappers les plus populaires.
        
        Pacaur a un look'n'feel similaire à packer, quelques fonctionnalités et bugs en moins, mais est surtout totalement opposée à yaourt concernant les interactions avec l'utilisateur: Un ou deux prompts, suivi des editions de tous les PKGBUILDs, puis compilation automatiques de tous les paquets, sans "coupure".
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Moonz le 06 juin 2012 à 09:57. Évalué à 1.
        
        Extrait de /etc/yaourtrc :
        
        # Prompt #NOCONFIRM=0 #UP_NOCONFIRM=0 # No prompt while build upgrades (including -Sbu) BUILD_NOCONFIRM=1 # Only prompt for editing files #EDITFILES=1 #NOENTER=1
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Spyhawk le 06 juin 2012 à 13:05. Évalué à 2.
        
        Oui je connais. C'est mieux, mais je suis toujours d'avis que yaourt est un calvaire à utiliser dès qu'il y a plus d'un paquet à compiler.
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Rolinh (site web personnel) le 05 juin 2012 à 16:39. Évalué à 3.
        
        Personnellement, j'utilise le dépôt git de AUR, un peu à la façon ports *BSD.
        Mais j'ai aussi pas mal utilisé cower pour son côté minimaliste justement.
        
        Bref, on peut très bien se passer de Yaourt et consorts.
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par neil le 05 juin 2012 à 18:30. Évalué à 1.
        
        Et comment tu sais quand est-ce que les mises à jour sont disponibles ? Sous FreeBSD il y a pas mal d'outils pour gérer les ports, par exemple portmanager, portupgrade ou portaudit, sous Arch tu as quoi ?
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par Enjolras le 05 juin 2012 à 22:51. Évalué à 1.
        
        tu as pkgsrc :>
        
        (mais sinon, git est assez puissant pour qu'il n'y ait pas besoin de wrapper)
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par fusible le 05 juin 2012 à 16:52. Évalué à 3.
        
        Automatiser AUR avec yaourt, c'est plutôt ça la version pré-mâché. Perso, je ne suis pas fan de la roulette russe. Yaourt est utile pour étendre -Ss au dépôt AUR et récupérer le PKGBUILD avec -G. Pour la suite, je préfère passer en manuel.
        
        [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
        
        Posté par sedutom le 05 juin 2012 à 17:20. Évalué à 3.
        
        Je suis d'accord mais j'ai abandonné gentoo pour archlinux il y a un moins d'un an à cause d'une flemmite aiguë de recompiler le système après avoir changé de processeur ; je suis allé au plus simple pour cette fois…
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par Nanawel (site web personnel, Mastodon) le 05 juin 2012 à 15:57. Évalué à 1.
  
  C'est vrai ça ? ça doit être très lourd de maintenir une Arch Linux en état de fonctionnement au fil des mises à jour.
  
  Pas tant que ça non. À chaque upgrade il convient de consulter le log des paquets installés et mis à jour. Lorsqu'un fichier de configuration est mis à jour, pacman te prévient, à toi ensuite d'aller faire un diff pour reporter les changements (mineurs la plupart du temps).
  
  Lorsqu'une modification est majeure, il y a souvent une news en rapport sur la page d'accueil archlinux.org.
  
  Et si comme tout bon utilisateur ~~barbu~~ de distrib en rolling release tu tiens à conserver un système up-to-date, en sachant exactement ce qui est installé et comment ça marche, alors une mise à niveau par semaine ne te prendra ordinairement que 5 petites minutes maximum…
  - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
    
    Posté par neil le 05 juin 2012 à 18:35. Évalué à 1.
    
    À ce sujet, est-ce qu'il existe un équivalent de mergemaster pour s'occuper de tout ça (lister les changement, lancer les diffs, permettre de merger, ignorer ou remplacer, etc ?).
    - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
      
      Posté par fusible le 05 juin 2012 à 19:07. Évalué à 2.
      
      Je dirais pacmatic qui est pas mal pour en plus vérifier les news.
- [^] # Re: lourd à maintenir
  
  Posté par Il Palazzo-sama (site web personnel) le 05 juin 2012 à 16:46. Évalué à 4.
  
  Je viens juste de découvrir la gestion courante des fichiers de configuration. (j’avais fait mon installation sur le pouce avant un départ à l’étranger, donc je ne me suis que peu pris le temps d’éplucher la documentation non liée à l’installation elle-même)
  
  N’ayant donc touché à rien depuis 4 mois, je me suis donc retrouvé avec le total énorme de… 4 fichiers à mettre à jour manuellement :
  — /etc/locale.gen pour une poignée de localisations ajoutées
  — /etc/mkinitcpio.conf pour quelques commentaires mis à jour et un ajout mineur (pour ma configuration, même si ça semble important pour d’autres)
  — /etc/pacman.d/mirrorlist pour de nombreuses modifications au niveau des serveurs disponibles (c’est le seul que je regrette de ne pas avoir mis à jour plus tôt, d’autant que ça m’a permis de nettoyer une petite bêtise que j’avais commise à l’installation)
  — /etc/rc.conf (le fichier de configuration principal) pour quelques commentaires changés et de légères modifications de la configuration par défaut
  
  Donc, concrètement, c’est pas si horrible que ça. ;-)
  (je suppose qu’il doit donc aussi y avoir une gestion comme sous Debian)
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par Anonyme le 05 juin 2012 à 16:54. Évalué à 8. Dernière modification le 05 juin 2012 à 16:58.
  man pacman
```
Handling Config Files

Pacman uses the same logic as rpm to determine action against files that are designated to be backed up. During an upgrade, 3 md5 hashes are used for each backup file to determine the required action: one for the original file installed, one for the new file that’s about to be installed, and one for the actual file existing on the filesystem. After comparing these 3 hashes, the follow scenarios can result:

original=X, current=X, new=X
All three files are the same, so overwrites are not an issue. Install the new file.

original=X, current=X, new=Y
The current file is the same as the original but the new one differs. Since the user did not ever modify the file, and the new one may contain improvements or bugfixes, install the new file.

original=X, current=Y, new=X
Both package versions contain the exact same file, but the one on the filesystem has been modified. Leave the current file in place.

original=X, current=Y, new=Y
The new file is identical to the current file. Install the new file.

original=X, current=Y, new=Z
All three files are different, so install the new file with a .pacnew extension and warn the user. The user must then manually merge any necessary changes into the original file.
```
  - [^] # Rectification
    
    Posté par Arthur Accroc le 05 juin 2012 à 18:34. Évalué à 2.
    
    original=X, current=X, new=Y
    The current file is the same as the original but the new one differs. Since the user did not ever modify the file, and the new one may contain improvements or bugfixes, install the new file.
    
    Très bonne remarque de quelqu’un qui ne lit pas les man en diagonale (et qui laisse peut-être des fichiers de configuration non modifiés…).
    
    Donc, si on fait une installation fraîche, on doit logiquement se retrouver avec la vérification de la signature des paquets activée. Tant mieux, mais dans ce cas, on a intérêt à accepter les clés maitresses !
    
    Enfin pour être sûr du comportement exact, il faudrait prendre le temps d’essayer une installation…
    
    Quand j’ai écrit mon journal, j’ai privilégié la fraîcheur à la qualité (c’est pour ça que j’avais juste posté un journal plutôt que de proposer une dépêche), mais j’ai essayé de mettre le conditionnel ou « peut-être » pour les choses dont j’étais le moins sûr.
    
    « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
    - [^] # Re: Rectification
      
      Posté par bilboa le 05 juin 2012 à 20:40. Évalué à 1.
      
      " j’ai privilégié la fraîcheur à la qualité "
      
      comme la plupart des sites de news, et c'est pour ca que les sites de news, c'est souvent de la **** style awesome sensational new you-must-get-that
      
      désolé :)
    - [^] # Re: Rectification
      
      Posté par Anonyme le 05 juin 2012 à 22:18. Évalué à 1.
      
      Donc, si on fait une installation fraîche, on doit logiquement se retrouver avec la vérification de la signature des paquets activée. Tant mieux, mais dans ce cas, on a intérêt à accepter les clés maitresses !
      
      Non, parce que, malheureusement, la configuration par défaut est SigLevel = Never.
      - [^] # Re: Rectification
        
        Posté par Enjolras le 05 juin 2012 à 22:55. Évalué à 1.
        
        t'as pas tout suivit toi :Þ
        C’est justement l'objet de la dépêhe, le passage de Never à PackageRequired par défaut.
        
        Mais bon, je suis d'accord, c'est très mal expliqué dans la dépêche.
        
        [^] # Re: Rectification
        
        Posté par Arthur Accroc le 06 juin 2012 à 07:23. Évalué à 2. Dernière modification le 06 juin 2012 à 07:24.
        
        C’est justement l'objet de la dépêhe, le passage de Never à PackageRequired par défaut.
        
        Mais bon, je suis d'accord, c'est très mal expliqué dans la dépêche.
        
        Vu que les utilisateurs d’Arch allaient forcément être au courant, j’ai essayé de faire quelque chose de compréhensible pour les autres (et comme je l’ai dit, ça ne devait être qu’un journal, ce n’est pas moi qui ait décidé de le passer en dépêche).
        Je n’ai pas vu de manière évidente comment leur présenter « grande nouvelle : Arch Linux vérifie maintenant les signatures déjà existantes par défaut mais pas par défaut (il faut fusionner les modification du fichier de config)… mais c’est une grande nouvelle » sans simplifier un peu. :-)
        
        Quoiqu’il en soit, l’activation par défaut de la vérification est l’aboutissement de tout le travail de fond des développeurs pour concevoir, développer et mettre en place ce mécanisme (plus une période de test avant de le mettre par défaut).
        
        À un autre sujet, une petite nouvelle fraîche : Firefox et Thunderbird 13 sont dans les dépôts.
        
        « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
        
        [^] # Re: Rectification
        
        Posté par Enjolras le 06 juin 2012 à 18:47. Évalué à 1.
        
        Ce n'était pas une critique personnelle, j'ai bien vu que c'était un journal transformé en dépêche :). En plus, contrairement à toi, j'ai pas pris la peine de rédiger une news. Enfin, c'était pour pas que Arcaik se sente agressé non plus que j'ai fait cette remarque.
        
        [^] # Dépêches
        
        Posté par Arthur Accroc le 06 juin 2012 à 19:28. Évalué à 2.
        
        En plus, contrairement à toi, j'ai pas pris la peine de rédiger une news.
        
        Et c’est dommage : à voir ce commentaire, tu aurais pu en faire une bonne…
        
        À la décharge des modérateurs (pour avoir passé directement en dépêche un journal juste correct… pour un journal), viser une dépêche de qualité, ça peut causer une longue stagnation dans la tribune de rédaction.
        À partir de là, comme moi pour le journal, ce sont eux qui choisissent de privilégier la fraîcheur ou la qualité…
        
        « Le fascisme c’est la gangrène, à Santiago comme à Paris. » — Renaud, Hexagone
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par Guillaume D. le 05 juin 2012 à 19:13. Évalué à 1. Dernière modification le 05 juin 2012 à 21:00.
  C'est vrai ça ? ça doit être très lourd de maintenir une Arch Linux en état de fonctionnement au fil des mises à jour.
  
  Pas du tout
```
#!/bin/bash
# pacnew-update - merge *.pacnew files with original configurations with meld

pacnew=$(find /etc -type f -name "*.pacnew")

for config in $pacnew; do
  # Merge with meld
  gksu meld ${config%\.*} $config &
  wait
done
```
  (moi pas comprendre balise code ? ``` marche pas…)
  
  mise a jour de 10 fichiers de configuration sur plus de 2 ans d'upgrade …..
  - [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
    
    Posté par BAud (site web personnel) le 05 juin 2012 à 21:01. Évalué à 2.
    
    (moi pas comprendre balise code ? ``` marche pas…)
    
    il faut passer une ligne avant, j'ai corrigé pour toi en mettant ```bash devant :)
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par bilboa le 05 juin 2012 à 20:38. Évalué à 1.
  
  en fait vu que les configs cassent rarement la compatibilitée, y a quasiment jamais besoin de mettre a jour ;-)
- [^] # Re: elle ne modifie pas les fichiers de configuration à l’insu de l’administrateur
  
  Posté par Pyscal le 06 juin 2012 à 00:39. Évalué à 1.
  
  J'utilise Mercurial pour suivre mon /etc/. Un petit .hgignore permet d'éliminer quelques fichiers trop remuants, mtab par exemple.
  Soir bon.
# Mieux que les autres

Posté par mart-e (site web personnel) le 05 juin 2012 à 17:43. Évalué à 10. Dernière modification le 05 juin 2012 à 17:45.

Là où Archlinux (surtout pacman en fait) innove c'est qu'il vérifie la chaîne de signature complète des paquets. Les packages manager comme apt utilisent gpgv qui suppose que toutes les clefs publiques importées dans votre keyring sont de confiance (source man page). C'est, à mon avis, pas très efficace parce que si on nous donne une clef au nom d'un développeur, rien ne nous garanti que c'est la bonne sans faire des recherches contraignantes.

Pacman utilise gpgme qui vérifie toute la chaîne. J'importe les 5 master keys que je vérifie autant que possible, après les développeurs ont leurs clef signées par au moins 3 des 5 master keys, condition pour faire confiance à une clef.

Donc super arch !
- [^] # Re: Mieux que les autres
  
  Posté par bilboa le 05 juin 2012 à 20:39. Évalué à 1.
  
  tout a fait, ca permet de "trust" des packets signés par mr tout-le-monde et pas juste ce qui viens des mirroirs officiels.
  
  et c'est pour ca que la mode de signature/verification de arch, c'est bien. d'ailleurs, gpg est prévu pour fonctionner comme ca.
# #old et trompeur

Posté par Enjolras le 05 juin 2012 à 22:13. Évalué à 4.

Ça fait 6 mois que archlinux signe les paquets…
Voir cette news pour les sources.

Ce qui est récent, c'est que pacman vérifie les signatures par défaut, alors que jusqu'a présent il fallait que l'utilisateur active l'option dans /etc/pacman.conf
# Quelques liens sur le sujet

Posté par Enjolras le 05 juin 2012 à 22:47. Évalué à 9. Dernière modification le 05 juin 2012 à 22:49.
Au passage, j'en profite pour poster quelques liens marquants :

Le troll
- Il a été lancé par IgnorantGuru, qui le porta partout. Sur son blog : http://igurublog.wordpress.com/2011/02/19/archs-dirty-little-notso-secret
- Sur le bugtracker, et le forum (troll inintéressant pour la plupart).
- Et le troll se répandit sur lwm : http://lwn.net/Articles/434990/
- Dan McGee, un des principaux développeurs de pacman, écrivit un article de blog pour calmer les choses : http://www.toofishes.net/blog/real-story-behind-arch-linux-package-signing
L'implémentation
- Après beaucoup de réflexion, les patchs firent leur entrée dans les différents outils et pacman 4 supporte les signatures.
  Allan McRae (un autre développeur de pacman) a écrit une série d'article décrivant implémentation choisie :
- Puis quand pacman 4.0 sorti, Pierre schmitz publia deux articles pour expliquer comment configurer pacman pour vérifier les signatures :
  - https://pierre-schmitz.com/trust-the-master-keys/
  - https://pierre-schmitz.com/verify-all-the-packages/
Et pour finir