Arch Linux

Aktuelle Pacman Änderungen

krypt0n

Hallo,

habe gerade das Update von pacman vorgenommen und die Anweisungen befolgt, also nach dem Update

pacman-key --init
pacman-key --populate archlinux

eingegeben. Ich hatte aber keine Lust, mir alle Signatures anzuschauen und das zu verifizieren. Ich habe einfach immer ja und enter, bis alle 5 Masterkeys verifiziert waren. Dann habe ich ein weiteres Update gemacht und normale Packages installiert. Ist das Prozedere jetzt beendet oder muss ich noch etwas nachträglich machen und habe ich einen großen Fehler begangen, dass ich mir nicht alle Signatures von jedem Packager haargenau angeschaut habe? Besteht jetzt ein großes Sicherheitsrisiko?

Grüße

[gelöscht]

Selbstverständlich ist es vollkommen überflüssig die Masterkeys zu verifizieren, ausschließlich Langeweiler und Spießer verifizieren die Masterkeys. Das in allen Wikis ausdrücklich dazu geraten wird ist lediglich Schikane. Am besten setzt man in der pacman .conf SigLevel=Never, denn die Entwickler haben aus purer Langeweile so lange an einer sinnvollen Paketsignierung für pacman/arch gearbeitet.

maik

pacman-key --init
pacman-key --populate archlinux

Ist dies auch notwendig, wenn man bereits einen eingerichteten Schlüsselbund hat und nutzt? Ich habe derzeit über 80 Schlüssel im Bund, davon (m)ein Pacman Keychain Master Key und fünf Arch Linux Master Keys.

feuri

Nein, brauchst du nichtmehr machen. Das prozedere war bisher immer gleich, es wurd halt jetzt nur darauf hingewiesen, dass man es jetzt machen soll, da alles fertig ist.

krypt0n

Wurde jetzt alles automatisch gemacht oder muss ich noch irgendwelche Schlüssel hinzufügen? Wie kann ich das nachträglich verifizieren, was ich zuvor voreilig weggeklickt habe?

Grüße

fs4000

Mit pacman-key -f kann man sich alle Schlüsselfingerabdrücke anzeigen lassen.

matthias

Öhm - kritisches Update ohne Hinzugucken - tut mir leid, das ist blöd! Das musste jetzt in dieser Härte mal gesagt werden.

Es sollte folgendes passiert sein: Nach der Verifikation der fünf Master-Keys (okay, du hast sie nicht verifiziert, aber das ist jetzt dein Problem) wird ein neues Paket installiert, dessen Namen ich gerade vergessen habe. Es heisst archlinux-keyring, oder so. Dieses enthält etwa 60 weitere Schlüssel von Devs und TUs, die wiederum automagisch von den Masterkeys verifiziert werden (die du selbst nicht verifiziert hast, aber egal).

Das sollte alles bereits auf deinem System liegen, und du musst nichts mehr tun. Was genau du gemacht hast (ohne Hinzugucken), kannst du natürlich am Ende von /var/log/pacman.log überprüfen.

Dirk

matthias schriebÖhm - kritisches Update ohne Hinzugucken - tut mir leid, das ist blöd! Das musste jetzt in dieser Härte mal gesagt werden.

Es sollte folgendes passiert sein: Nach der Verifikation der fünf Master-Keys (okay, du hast sie nicht verifiziert, aber das ist jetzt dein Problem) wird ein neues Paket installiert, dessen Namen ich gerade vergessen habe. Es heisst archlinux-keyring, oder so. Dieses enthält etwa 60 weitere Schlüssel von Devs und TUs, die wiederum automagisch von den Masterkeys verifiziert werden (die du selbst nicht verifiziert hast, aber egal).

Das sollte alles bereits auf deinem System liegen, und du musst nichts mehr tun. Was genau du gemacht hast (ohne Hinzugucken), kannst du natürlich am Ende von /var/log/pacman.log überprüfen.

QFE 🙂

krypt0n

Ja ich weiß, das war echt dumm von mir. Ich werde mir die Schlüsselfingerabdrücke heute noch anschauen und vergleichen. Was muss ich dann noch machen? Habe Angst, dass ich mein System neu aufsetzen muss, weil jetzt der „Eindringling“ in meinem System potenziell ist und Unfug treibt ohne meines Wissens 😉

Grüße

PS: Habe jetzt alle 5 Masterkeys abgeglichen mit denen auf der Homepage und es passt alles. Reicht das? Oder muss ich ALLE weiteren Keys (von allen Packagern) abgleichen? Das sind 55!

Nemisis

hab genau das gleiche Problem wie TE.
Obwohl ich SigLevel auf 0 hatte, bekam ich druch das pacman Update den "Schalter" auf enabled gestellt.
Ich finde es ja schön wenn di Entwicker sich da viel müje mit geben aber dann 50 Keys und mehr automatisch zu bekommen wobei man dann nicht mal genau weißt von WEM...das finde ich jetzt weniger gut.

Die Master Keys stimmen bei mir auch aber gibt es eine Möglichkeit die anderen 50 abzugleichen?

Muss ich mir jetzt Sorgen bzeüglich meines Systems machen?

GerBra

Nemisis schrieb Obwohl ich SigLevel auf 0 hatte, bekam ich druch das pacman Update den "Schalter" auf enabled gestellt.

Tut mir leid, aber das ist Blödsinn.
Kein pacman Upgrade überschreibt/verändert dir die /etc/pacman.conf. Auch im .install ist keine Funktion um daß automatisch zu tun.
Selbst die pacman.conf, die im Paket mitkommt, hat noch SigLevel = Never

Greg

Ich probiere gerade mit vbox die Installation per Netinstall aus.
Bei pacman-key --init kommt:
gpg: /etc/pacman.d/gnupg/trustdb.gpg: trustdb created
gpg: no ultimately trusted keys found
gpg:Generating pacman keychain master key...

Wie lange dauert das bei Euch?
Nach 10min tut sich da nichts weiter.
Aufgehangen hat sich da nichts. Ich kann in die 2.Konsole wechseln und rummachen.

Bis denn..
Gruß aus DN
Greg

Nachtrag:
Nach 30min. immer noch nichts.
Kann es sein, dass mit pacman etwas nicht stimmt?

2.Nachtrag, jetzt ist es fertig. Nach 33min.

sven_s

Du kannst die Zeit auch verkuerzen, wenn du mehrere male top oder htop, generell viel mit ncurses-Oberflaeche. Dazu dann noch I/O-lastige Operationen, z.B. den gesamten Inhalt der CD nach /dev/null kopieren oder die Daten, die noch auf der Festpallte sind nach /dev/null kopieren und es sollte schneller gehen.
Ich hatte mich auch beim ersten mal gewundert, wie lange es dauert.

GerBra

GerBra schrieb Selbst die pacman.conf, die im Paket mitkommt, hat noch SigLevel = Never

Da korrigiere ich mich, hatte noch das alte Paket im Cache. Signierung ist bei einem *neuinstalliertem* pacma u default eingeschaltet, siehe auch die News:
https://forum.archlinux.de/viewtopic.php?id=21658
Trotzdem: beim Upgrade nur wenn ich eine alte pacman.conf anpasse, nicht automatisch.

@Greg:
Pierre schreibt ja etwas wie eine ausreichende Entropie zu erhalten ist. Das haveged Tool scheint da nutzbringend zu sein.

Dirk

Was macht ihr eigentlich immer so lange? 5 Minuten weitersurfen, schon war es fertig.

Nemisis

Hallo Gerbra

Seit der Einführung signierter Pakete (ist das tatsächlich schon wieder sechs Monate her?) war diese Eigenschaft standardmäßig abgeschaltet, da erst eine passende Infrastruktur aufgebaut werden musste. Jetzt ist sie so gereift, dass die nächste Aktualisierung standardmäßig das Einschalten dieses Features vorsieht.

war aber so *G*

Ich hatte extra weil es bis zu letzt Probleme mit dem Keyserver gab diese Funktion abgestellt sodas ich über pacman -Syu nie damit in Berührung kam und alle meine Update für pacman selber und die Systemaktualisierung ohne Key auth durchlief.
Da ich jetzt ein paar Tage nicht an meienm System war habe ich heute bevor ich die neusten Wiki News gelesen hatte mein pacman -Syu angeworfen.
Auf einmal kam nach der Abfrage ob ich pacman aktualisieren möchte ein ganzer Schwung 50+ öffentliche Key's hereingeprasselt.

GerBra

Nemisis schrieb Auf einmal kam nach der Abfrage ob ich pacman aktualisieren möchte ein ganzer Schwung 50+ öffentliche Key's hereingeprasselt.

Was aber nicht heißt, daß sich dein SigLevel geändert hat - schon garnicht vo selbst.
Der Schlüsselbund kommt mit der Abhängigkeit archlinux-keyring (jeder wollte dieses Paket haben...)

mannohneschuh

Nemisis schriebHallo Gerbra

Seit der Einführung signierter Pakete (ist das tatsächlich schon wieder sechs Monate her?) war diese Eigenschaft standardmäßig abgeschaltet, da erst eine passende Infrastruktur aufgebaut werden musste. Jetzt ist sie so gereift, dass die nächste Aktualisierung standardmäßig das Einschalten dieses Features vorsieht.
war aber so *G*

Ich hatte extra weil es bis zu letzt Probleme mit dem Keyserver gab diese Funktion abgestellt sodas ich über pacman -Syu nie damit in Berührung kam und alle meine Update für pacman selber und die Systemaktualisierung ohne Key auth durchlief.
Da ich jetzt ein paar Tage nicht an meienm System war habe ich heute bevor ich die neusten Wiki News gelesen hatte mein pacman -Syu angeworfen.
Auf einmal kam nach der Abfrage ob ich pacman aktualisieren möchte ein ganzer Schwung 50+ öffentliche Key's hereingeprasselt.

Das eine hat mit dem anderen doch nichts zu tun! Du hast jetzt 50+ öffentliche Keys von TUs na und? Hast du denn (wie GerBra bereits beschreib) deine pacman.conf überschrieben bekommen? Ich verwette mein letztes Feuerzeug drauf das nicht.

Nemisis

ich muss mich etwas korrigieren.
Mein SigLevel stand nicht auf Never sondern noch auf #Optional TrustedOnly..ALLERDINGS ! sind meine ganzen SigLevel Einträge ausgeraut!
In allen Repositories wo mit SigLevel gearbeitet werden könnte, ist nach wie vor eine Raute vorgestellt so das die Option gar nicht verwendet wird.
Von daher war ich ja auch wie bereits erwähnt, so erstaunt das ich die Keys bekam obwohl ich die Funktion in der pacman.conf abgewählt hatte.

Heißt das jetzt,das durch das Update zwar alle benötigten Keys ( vor allem die Masterkeys) vorhanden wären aber sofern man die Option in der pacman.conf abgewählt hat, dies bei einem Upgrade gar nicht in Betracht gezogen wird?Sollte doch eigentlich so sein oder?

Ich verwende PGP zwar seit längern im privaten EMail Verkehr oder bei Datenaustausch aber da habe ich meine öffentlichen Keys persönlich von Leuten die ich auch kenne.
Wenn ich jetzt einen ganzen Schwung Keys erhalte bin ich in ersteer Sicht doch etwas verwirrt und vertraue der Sache nicht gleich 100%.
Ich hatte zu diesem Thema gestern auch eine Anfrage im IRC aber da wird man ja neuerdings gleich zusammen gefalltet wenn man da nicht gleich weiß worum es geht bzw wie die Prozedur abläuft :-(

mannohneschuh

Nemisis schriebich muss mich etwas korrigieren.
Mein SigLevel stand nicht auf Never sondern noch auf #Optional TrustedOnly..ALLERDINGS ! sind meine ganzen SigLevel Einträge ausgeraut!
In allen Repositories wo mit SigLevel gearbeitet werden könnte, ist nach wie vor eine Raute vorgestellt so das die Option gar nicht verwendet wird.
Von daher war ich ja auch wie bereits erwähnt, so erstaunt das ich die Keys bekam obwohl ich die Funktion in der pacman.conf abgewählt hatte.

Heißt das jetzt,das durch das Update zwar alle benötigten Keys ( vor allem die Masterkeys) vorhanden wären aber sofern man die Option in der pacman.conf abgewählt hat, dies bei einem Upgrade gar nicht in Betracht gezogen wird?Sollte doch eigentlich so sein oder?

Jo genau so ist es.

Nemisis schrieb Ich verwende PGP zwar seit längern im privaten EMail Verkehr oder bei Datenaustausch aber da habe ich meine öffentlichen Keys persönlich von Leuten die ich auch kenne.
Wenn ich jetzt einen ganzen Schwung Keys erhalte bin ich in ersteer Sicht doch etwas verwirrt und vertraue der Sache nicht gleich 100%.
Ich hatte zu diesem Thema gestern auch eine Anfrage im IRC aber da wird man ja neuerdings gleich zusammen gefalltet wenn man da nicht gleich weiß worum es geht bzw wie die Prozedur abläuft :-(

ALso du hast deinen eigenen lokalen Key (pacman-key --init) erstellt, dieser verhält sich so wie dein privater GPG-Key für deinen Mailverkehr. Mit diesem Key kannst du das Vertrauen gegenüber den AL-Keys einstellen.
Bei GPG machst du das ja auch so. Du bekommst den Key und nun musst du verifizieren das dieser Key wirklich dieser Person gehört. Dafür sind die Fingerprints der AL-Keys ja auch öffentlich. Dort kannst du nun schauen ob die lokalen öffentlichen Keys wirklich die richtigen sind. Den Developer-Keys vertraust du wenn du den Masterkeys vertraust. So das du nur 5 Keys vertrauen musst um der ganzen key chain zu vertrauen.

Nächste Seite »