Alguém se incomoda em remover rpmkeys?

Navegue suas respostas
4

Meu sistema Fedora 26 ainda tem rpmkeys instalados do Fedora 25 e RPMFusion para o Fedora 25: 

$ rpm -qa gpg-pubkey --qf "%{version}-%{release} %{summary}\n"
fdb19c98-56fd6333 gpg(Fedora 25 Primary (25) <[email protected]>)
7fac5991-4615767f gpg(Google, Inc. Linux Package Signing Key <[email protected]>)
64dab85d-57d33e22 gpg(Fedora 26 Primary (26) <[email protected]>)
fa7a179a-562bcd6e gpg(RPM Fusion nonfree repository for Fedora (25) <[email protected]>)
6806a9cb-562bce39 gpg(RPM Fusion free repository for Fedora (25) <[email protected]>)
d38b4796-570c8cd3 gpg(Google Inc. (Linux Packages Signing Authority) <[email protected]>)
  1. O processo de atualização recomendado pelo Fedora remove as chaves desatualizadas do Fedora GPG? Ou seja é pelo menos esperado que remova a chave para o Fedora 24 , que já passou de "fim de vida", se eu tiver atualizado F24 - > F25 - > F26?
  2. Existe um processo documentado para remover chaves GPG de RPMFusion desatualizadas?
  3. Girar as teclas dessa maneira parece ser uma boa prática. ( Revogar uma chave comprometida seria outra questão ...) Assim, manter chaves desatualizadas em um sistema atualizado não ganharia nenhum dos benefícios do Fedora rodando suas chaves. No caso de a resposta para qualquer um dos itens acima ser "não", eu acho que gostaria de saber se há alguma implicação menos óbvia de reter chaves desatualizadas.
por sourcejedi 26.10.2017 / 16:58

2 respostas

0

dnf system-upgrade é quase perturbadoramente simples. Não tem nenhum tratamento especial de chaves. O pacote que contém as chaves do Fedora também parece bastante simples e não esconde qualquer manuseio especial de chaves. Portanto, espero que dnf system-upgrade solicite a aceitação da nova chave, porque é isso que o dnf normalmente faz, mas isso nunca resulta na remoção de nenhuma chave.

EDIT: Até agora, eu atualizei o Fedora de 26 - > 27 - > 28, e a chave do Fedora 25 ainda era mantida.

Se você quiser resolver isso, a melhor oportunidade é antes de uma atualização de distribuição. Você pode remover todas suas teclas rpm e começar de novo com rpm -e --allmatches gpg-pubkey-*-* . Isso é relativamente seguro; As teclas rpm sempre podem ser reinstaladas, se necessário. O Fedora mantém todas as suas rpmkeys disponíveis em /etc/pki/rpm-gpg/ , incluindo todas as antigas.

Algumas configurações de repositório de terceiros, como as do Google, precisariam fazer o download novamente dos rpmkeys ausentes por HTTPS. Ou seja autenticado pelo buraco-y Web PKI. Isso parece um pouco abaixo do ideal. Eu duvido que isso implemente a fixação de certificados. Por acaso estou usando uma configuração mais paranóica para instalar software do Google no momento.

A rota do GNOME Software / PackageKit é um pouco mais obscura. Quando você usa o PackageKit em vez de dnf , meu entendimento é que O PackageKit usa seu próprio mecanismo de confiança no lugar do RPM . Esse mecanismo parece ignorar as chaves antigas imediatamente após uma atualização de distribuição.

Estranhamente, parece que o PackageKit até armazena as chaves de terceiros sob um diretório baseado na versão do Fedora ( /var/cache/PackageKit/28/metadata/google-chrome/... ). Isso sugere que o PackageKit irá baixar novamente as chaves, como o HTTPS do Google, de qualquer maneira. Então, se você usa alguma GUI baseada no PackageKit, é difícil fazer algo sobre isso.

O Debian contrasta com o Fedora aqui. Eu tenho certeza que vi o Debian remover chaves antigas do Debian (talvez em parte quando eu olhei para o histórico de arquivos no meu etckeeper ). Eu não olhei para o PackageKit no Debian. Até onde sei, apt não tem o "recurso" que dnf faz para baixar chaves de assinatura de terceiros ausentes por HTTPS.

    
por 27.10.2017 / 01:52
1
  1. Não que eu possa dizer olhando para qualquer documentação oficial (embora possa ter perdido alguma coisa), mas dado que a maioria dos usuários nunca toca nas teclas, eu diria que sim (ou pelo menos que seja inteligente o suficiente para remover chaves que sabe são revogadas).
  2. Eu diria que há algum procedimento 'oficial', mas com alguma pesquisa superficial eu não consegui encontrá-lo (você pode, teoricamente, manipular o chaveiro GPG diretamente sem passar pelo RPM, mas eu não sei se isso pode ou não quebrar alguma coisa).
  3. Diferente do que você descreveu, não consigo pensar em nenhuma consequência negativa para manter as chaves, mas há uma razão muito importante para manter as chaves mais recentes, pelo menos inicialmente: se a atualização falha no meio e você tem que reverter, você precisa das chaves antigas.
por 26.10.2017 / 21:43

Tags

O Pipelined Sed não funciona no nome do arquivo encontrado dentro da substituição do comando Bash quando invocado a partir do Find “-exec” SELinux woes desenvolvendo extensão systemd