On Tue, Nov 25, 2003 at 03:04:13PM +0100, Jean-Bruno Luginb�hl wrote:
> Donc c'est un mauvais point pour apt-get?
- Les sources sont sign�es par les d�veloppeurs (fichier dsc) avec
GPG (en fait les md5sums et la description du package est sign�e)
- Le fichier Release (qui contient les md5sums des divers fichiers
Packages utilis�s par apt-get) pour une version donn�e (p.ex. woofy)
sont sign�s GPG par une cl� annuelle d'archive.
- Les fichiers Packages contiennent les sources d'installation
de packages, les descriptions et un md5sum pour chaque package
binaire ou source.
Donc il y a tout dans le syst�me pour:
- v�rifier qu'apt-get n'utilise que des fichiers Packages officiels
(packages binaires ou sources)
- v�rifier chaque package source individuellement avec la keyring
des d�veloppeurs
Optionnellement on peut aussi avoir des signatures directement dans
les fichiers .deb (voir le package debsigs). On peut l'activer
en installant debsig-verify. Je ne l'ai jamais fait, peut-�tre
quelqu'un d'autre peut commenter.
Ce que j'ai fait par contre est d'utiliser un script qui expurge
/etc/apt/sources.list des sources non sign�es (le relancer �
chaque apt-get update). Les md5sums sont v�rifi�s par d�faut.
Ce script se nomme apt-check-sigs.
Il est clair que cela serait bien que tout cela s'uniformise, et
j'esp�re avant la sortie de sarge. Quelqu'un peut commenter ?
_______________________________________________
gull mailing list
[EMAIL PROTECTED]
http://lists.alphanet.ch/mailman/listinfo/gull
