Dan McGee: Podepisování balíčků v Arch Linuxu

Dan McGee, hlavní vývojář pacmanu, se na svém blogu vyjadřuje k podepisování balíčků v Arch Linuxu. Jde o dlouhodobý problém (2006), první patche se objevily v roce 2008. Pak však jejich původní přispěvatel ztratil zájem a vše poněkud utichlo do roku 2010. To se zájem ze strany komunity poněkud obnovil a vznikly nějaké patche, hlavní vývojáři však poněkud zaspali s jejich revidováním. Letos v únoru se však objevil mail v konferenci, který rozpoutal dlouhou debatu, aniž by z komunity vzešel nějaký kód, a také bouři v médiích včetně pochybného článku na LWN. Tento článek Dan vyvrací a shrnuje současný stav následovně: Na podepisování balíčků se pracuje, chcete-li tuto práci zrychlit, zašlete patch adresující úkoly v TODO a uvědomte si, že vývojáři Arch Linuxu jsou dobrovolníci.

Podle mně je to jedna ze zásadních věcí, které archu chybí. Dalším bezpečnostním problémem je aur, u kterého člověk při častějším používání inklinuje k slepé důvěře a přestává ručně kontrolovat pkgbuildy.
Zdar Max

Měl jsem sen ... :(

25.3.2011 07:28 vogo | skóre: 34 | blog: "Skládat papír"
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Ale to je chyba uživatele, protože kontrola PKGBUILDu je důrazně doporučena. viz ArchWiki. Arch Linux je hodně zvláštní distribuce a pokud člověk nedává pozor na všechno co se systémem dělá, nemůže se divit, že se něco pokazí.

Nejsem paranoidní, ale to ještě neznamená, že po mě nejdou.

25.3.2011 09:15 Nicky726 | skóre: 56 | blog: Nicky726
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Ju, také bych řekl, že to Archu chybí. Arch ale funguje způsobem, že komunita řeší, co jí chybí, no a v tomhle případě se ukazuje, že to té komunitě zjevně tak moc nechybí.

Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)

25.3.2011 16:16 Martin Matějek | skóre: 12 | blog: Flying_circus | Kladno
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Koneckonců proč ne, Slackware komunita funguje víceméně stejně (místo bugzilly je fórum) , ale podepisovat balíky někoho napadlo už dávno. Nebezpečí podvrženého kódu ze SlackBuildů teoreticky hrozí úplně stejný, ale zatím není akutní proto, že SlackBuildy spravuje několik důvěryhodných lidí. Škoda, jako lehce paranoidního mě to nepodepisování od Archu odrazuje.

Don't judge me by the friends I keep. No, no, no. Judge me by the enemies I have slain!

25.3.2011 09:21 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Byl vlastně vůbec někdy AUR zneužit k propašování nějakého trojana nebo něčeho podobného? Arch používám hodně dlouho, ale něco takového jsem zatím nezaznamenal.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

25.3.2011 10:02 Begleiter | skóre: 47 | blog: muj_blog | Doma
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Byl vlastně vůbec někdy AUR zneužit k propašování nějakého trojana nebo něčeho podobného?

To by mě taky zajímalo.

A vůbec by mě zajímalo, kolik lidí opravdu poctivě kontroluje PKGBUILDy. Já obyčejně určitý PKGBUILD letmo zhlédnu na přítomnost příkazů typu rm -R apod. Ale vím, že to nestačí, protože PKGBUILD třeba může stahovat "závadné zdrojáky".

25.3.2011 10:08 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Nevím o tom, ale už jsem viděl dost NEUVĚŘITELNÝCH PKGBUILDů. Jeden z nejzábavnějších měl asi takovouto funkci build:

build() {
  cp -a /home/franta/bordel/neco/build /usr/bin
}

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

25.3.2011 10:10 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Nebo jsem viděl na AUR balíček, kde byl zatargzipovaný několikagigabytový prázdný soubor.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

25.3.2011 10:15 Begleiter | skóre: 47 | blog: muj_blog | Doma
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Já dám dost na to, kolik hlasů daný PKGBUILD dostal. PKGBUILDy s menším počtem hlasů kontroluju důkladněji.

25.3.2011 23:32 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Používám Arch 7 let, nikdy jsem neměl žádný ve zprávě a výše naznačený problém. Pravda, nepoužívám žádné obskurní balíky a AURu, pouze prověřené jinými archery nebo odvozené z jiných dister, kde jsou běžně v repozitářích.

Archlinux for your comps, faster running guaranted!

26.3.2011 15:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Používám Arch 7 let, nikdy jsem neměl žádný ve zprávě a výše naznačený problém.

Nebo o tom jenom nevíš.

25.3.2011 10:15 M.Š.
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Jsem dlouholetý uživatel Arch Linuxu a todle mi opravdu nikdy nechybělo. Samozřejmě ho asi nebudu instalovat na nějaký produkční server ale na jen svůj desktop a pro způsob, jakým používám počítač je to pro mě nejpohodlnější distribuce. Navíc se mi zdá, že tam kolem sebe kope akorát jeden člověk který jě nějak přehnaně posedlý bezpečností.

25.3.2011 16:47 x00
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Ano ale keby niekto infiltroval mirrory archu tak by si tu kvical jak oklamane dieta.

25.3.2011 22:25 M.Š.
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Tak moc určitě ne. A určitě ne tady. Nicméně to neznamená, že jsem proti implementaci podepisování. Určitě by se podepisovat mělo ale způsob jakým to teď mezi vývojáře Archu vyplulo na povrch je poněkud neštastný a demotivující.

26.3.2011 10:37 Petr Ježek | skóre: 10
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Milý příteli, nesuďte jiné podle sebe. Neumíte sledovat běžící procesy včetně oprávnění? Cizí prstíčky ve svém systému sekám ihned poté, co o so bě dají vědět...

Archlinux for your comps, faster running guaranted!

26.3.2011 11:26 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Odhalíš rootkity tím, že sleduješ běžící procesy? To ti gratuluji.

26.3.2011 19:53 Jakub Lucký | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

A backdoor v OpenSSH poznáš podle cat /usr/sbin/sshd ?

If you understand, things are just as they are; if you do not understand, things are just as they are.

26.3.2011 15:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Dan McGee: Podepisování balíčků v Arch Linuxu

Samozřejmě ho asi nebudu instalovat na nějaký produkční server ale na jen svůj desktop

Jenže pokud ze svého desktopu spravuješ ty produkční servery, je v podstatě jedno, jestli je ten Arch rovnou tam nebo „jenom“ na tvém desktopu.

Dan McGee: Podepisování balíčků v Arch Linuxu

Komentáře