Da bei mir bis Ende der Woche ansteht pacman auf einer erheblichen Anzahl von Rechner zu aktualisieren - inklusive Paketsignierung - überlege ich mir gerade den besten Weg. Würde da gerne noch ein, zwei Meinungen zu meinen Gedanken hören...
Unsinnig/unpraktikabel/unnötig ist, das ganze Prozedere jeweils per Hand pro Rechner zu machen.
Es reicht IMHO einmalig den Vetrauenslevel gewissenhaft zu überprüfen, ich muß die Fingerprints der MasterKeys nicht x-mal - bis zur totalen geistigen Erschöpfung <g> - verifizieren ;-)
Erste Überlegung (und sicher praktikabel) ist das Exportieren der MasterKeys(bzw. des ganzen bisherigen Schlüsselbundes) und des Trustlevels von der "sicheren" Maschine und das Importieren auf den anderen Rechnern. Auf diesen Rechnern müßte dann lediglich das pacman-key --init ausgeführt werden um u.a. den "Pacman Keychain Master Key <pacman@localhost>", also den rechnereigenen MasterKey zu generieren.
Viel einfacher wäre aber das einfache Kopieren von /etc/pacman.d/gnupg/ auf die anderen Rechner. Das funktioniert ohne Probleme (getestet). Der einzige Unterschied IMHO ist dabei, daß jeder Rechner den gleichen *lokalen* Masterkey hat. Das ist soweit ich sehe aber absolut nichts tragisches.
Und da würde ich gerne Eure Meinung hören, ob ihr bei der letzten Methode (Kopieren) ein Problem mit dem Trustgebilde o.ä. seht. Ich kann beim Nachdenken nichts finden was dagegenspricht; z.B. kann ich mir in einer großen Umgebung (sagen wir mal mutig 100 Archlinuxclients) sogar vorstellen, daß der Admin den durch --init generierten LocalMasterKey sogar "aufwertet", indem er einen "richtigen" (Firmen)-Key für alle PCs nimmt. Von diesem ausgehend sind dann die ArchMasterKeys beglaubigt und die Signierungsüberprüfung kann bei den pacman-Läufen an den jeweiligen Rechnern erfolgen...
So meine Gedanken bisher....
//Edit: Ich habe jetzt beschlossen daß das Kopieren eine praktikable Lösung ist. Es gab im .org-Forum auch einen ähnlichen Thread, außerdem ist keinem, mit dem ich mich kurzschließen konnte, ein Grund dagegen eingefallen...
//Edit2: Versteht sich von selbst, daß der Transportweg des zu kopierenden verzeichnisses dann sicher/verschlüsselt sein sollte...