Re: Подписи для debmirror
На Sun, 8 Feb 2009 23:44:54 +0300
Alexey Pechnikov <pechnikov@sandy.ru> записано:
> Hello!
>
> В сообщении от Sunday 08 February 2009 18:30:37 Alexander GQ Gerasiov
> написал(а):
> > > Кто держит репозиторий, тот за него и отвечает. Пусть даже это
> > > зеркало.
> >
> > Вот знаешь, если вдруг у меня под боком окажется _твое_ зеркало
> > какого-либо нужного мне репозитория, я предпочту, чтобы за него
> > отвечал хозяин того репозитория, а не хозяин зеркала (то бишь ты).
>
> Вроде как речь шла о зеркале _для себя_. Впрочем, и в случае
> корпоративной сети за пакеты должен отвечать местный админ, а отнюдь
> не Мариллат или кто-то еще (хотя это уже скорее должен быть свой
> репозиторий, а не зеркало).
Зеркало для себя? Тогда тем более непонятно, зачем его подписывать
своим ключом.
Объясни мне, ты в состоянии проверять каждый пакет, который
зеркалируешь, и ручаться за него своей подписью? И стоит ли твоя
подпись того, чтобы ставить этот пакет?
Или вся твоя проверка будет сводиться к тому, что ты проверишь, что
пакет действительно подписан подписью debian ftp-archive или
debian-backports? Тогда нахрена мне (да и кому бы то ни было еще) твоя
подпись? Это же лишнее звено, которое потенциально уязвимо значительно
сильнее, чем ключ архива Дебиан. Ты же наверняка относишься к этому
наплевательски (потому что из твоих слов видно, что ты плохо
представляешь себе всю инфраструктуру и ее смысл) и наверняка хранишь
свой приватный ключ на публичной машине, подключенной к сети, да еще
может и без пассфрейза.
Попробуй вначале ответить на вопрос "Что удостоверяет подпись релиз
файлы на зеркале?" Какой в ней смысл?
--
Best regards,
Alexander GQ Gerasiov
Contacts:
e-mail: gq@cs.msu.su Jabber: gq@jabber.ru
Homepage: http://gq.net.ru ICQ: 7272757
PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D
Reply to: