Re: нет Release.gpg на Etch DVD?
On 17:00:00 Tue 17 Apr , Artem Chuprina wrote:
> Yury Yurevich -> debian-russian@lists.debian.org @ Tue, 17 Apr 2007 18:39:06 +0700:
>
> >> VN> Здорово у нас получается - по сети с удалённого миррора ставиться
> >> VN> безопаснее чем с локальной/соседней машины с примонтированными
> >> VN> образами.
> >>
> >> Если у тебя локальная машина untrusted - не держи на ней образы, держи
> >> честный миррор.
>
> YY> Когда Debian хранится в виде .iso, то можно легко и просто записать
> YY> на DVD жаждущим. Если хранить в виде репозитория, то либо каждый
> YY> раз собирать jigdo'ой, что неудобно, либо рядом хранить .iso, что
> YY> не выгодно.
>
> Если у тебя локальная машина untrusted, то это не аргумент. А если
> trusted, то в чем проблемы? В неумении RTFM?
Проблема в том, что official iso по мнению apt являются untrusted.
У пользователя остается несколько вариантов:
1) Подписать своим ключом Releases. IMHO, фарс
2) Сделать честное зеркало, взяв пакеты с DVD, а подписи Releases с
debian.org. Чем это неудобно - см. выше
3) Забить на secure apt.
От разработчиков лишь требовалось положить рядом подписи Releases,
однако они посчитали, что подписи на DVD нафиг никому не нужны.
Reply to: