ROSA Forum

Доброго дня. Можно порешать проблему с подписью пакета? Нужен для корректной работы eepm.
Спасибо. PS: С наступающим всех!

Попробуй

Это понятно, но ИМХО не нормально.

geof писал(а): 03 янв 2025, 13:00 Это понятно, но ИМХО не нормально.

Вполне нормально.
Вы решили установить версию, которая сейчас только разрабатывается.
Но ожидаете поведения как от стабильного релиза.
Просто отключите проверку подписей в файлах .repo
в папке
/etc/yum.repos.d/
Установив значение
gpgcheck=0

VictorR2007 писал(а): 04 янв 2025, 10:47 Просто отключите проверку подписей в файлах .repo
в папке
/etc/yum.repos.d/
Установив значение
gpgcheck=0

Я бы не рекомендовал отключать проверку подписи пакетов. Тестировать полезно не только разрабатываемую версию, но и процесс публикации пакетов. В данном случае неподписанный пакет попал в репозиторий. С точки зрения безопасности это очень серьёзная проблемма.

termim писал(а): 04 янв 2025, 21:20 С точки зрения безопасности это очень серьёзная проблемма.

С точки зрения безопасности не нужно вообще эту версию устанавливать.
Версия постоянно переделывается, в том числе и rpmlint, который и проверяет пакеты, и сам rpm.
rpm ещё в лежит в testing, пока не до конца готов.
Так же идут работы с репозиториями и с ABF.
В общем, что разные проблемы пока что будут вылезать.
P.S.
Многие подключают дополнительные репозитории, типа kde6_backports, а там пакеты вообще не подписываются.

VictorR2007 писал(а): 04 янв 2025, 22:39

termim писал(а): 04 янв 2025, 21:20 С точки зрения безопасности это очень серьёзная проблемма.

С точки зрения безопасности не нужно вообще эту версию устанавливать.

Тогда почему она присутствует в публичном репозитории?

Версия постоянно переделывается, в том числе и rpmlint, который и проверяет пакеты, и сам rpm.
rpm ещё в лежит в testing, пока не до конца готов.
Так же идут работы с репозиториями и с ABF.

С этим проблем нет, главное, что бы в публичном репозитории пакеты были подписаны и было понятно кем они были собраны.

В общем, что разные проблемы пока что будут вылезать.

Главное их оперативно исправлять, особенно связанные с безопасностью - репутацию надо беречь.
Что, влом запустить один пакет на пересборку?

P.S.
Многие подключают дополнительные репозитории, типа kde6_backports, а там пакеты вообще не подписываются.

И напрасно. В наше время для всего что выложено в публичный доступ длжна быть доступна верификация.
Или вы думаете, что мошенники только пенсионеров накалывают?

termim писал(а): 05 янв 2025, 20:53 Что, влом запустить один пакет на пересборку?

Не влом.
Но не получится.
Иначе давно бы пересобрали его.
Или просто переопубликовали.
В репах уже новая версия, лежит тут
https://abf-downloads.rosalinux.ru/rosa ... n/testing/
А старой версии уже нет, так как все сборки на abf были зачищены
перед новым годом.
Там все, и сам abf, и репозитории, на стадии переезда на другие сервера.
Процесс начался, но потом вылезла заминка.
Поэтому невозможно пока починить некоторые вещи.
Этот репозиторий рабочий.
Не стоит нападать.
Или не пользуйтесь им, или учитывайте, что не все можно сделать сразу и быстро.

VictorR2007 писал(а): 05 янв 2025, 23:57 Не влом.
Но не получится.
Иначе давно бы пересобрали его.
Или просто переопубликовали.
В репах уже новая версия, лежит тут
https://abf-downloads.rosalinux.ru/rosa ... n/testing/
А старой версии уже нет, так как все сборки на abf были зачищены
перед новым годом.
Там все, и сам abf, и репозитории, на стадии переезда на другие сервера.
Процесс начался, но потом вылезла заминка.
Поэтому невозможно пока починить некоторые вещи.

На этот случай есть root и возможность подписать пакет руками.
В наши дни безопасность это очень важная штука, а публичный репозиторий это лицо дистрибутива.

Этот репозиторий рабочий.
Не стоит нападать.

Не стоит воспринимать багрепорт как нападку.

termim писал(а): 06 янв 2025, 04:49 В наши дни безопасность это очень важная штука, а публичный репозиторий это лицо дистрибутива.

Публичные репозитории
https://mirror.yandex.ru/rosa/
http://mirror.rosalab.ru/rosa/
Рабочий репозиторий ABF, не публичный
https://abf-downloads.rosalinux.ru/
Продвинутые пользователи знают о нем, и используют на своё усмотрение.
Его использование может сломать стабильную систему.
Для вышедших стабильных версий Роса, например, R12.5,
во время обновлений, отключается синхронизация с публичными зеркалами.
После обновлений пакетов, синхронизация снова включается,
и обновления улетают в общий доступ.
У подключивших себе в то время репозиторий https://abf-downloads.rosalinux.ru/
система вполне могла сломаться.
Впрочем, нет, как и в случае с rpmlint, rpm4 бы не позволил этого сделать.
В общем, не стоит сейчас обновляться из https://abf-downloads.rosalinux.ru/.
Там есть неподписанныые пакеты.
Как только их подпишут, обновление станет доступным.

Репозиторием https://abf-downloads.rosalinux.ru/ вообще опасно пользоваться.
Там пакеты собираются без тестирования.
Например, вчера обновил networkmanager с 1.48.10 до 1.48.12.
Обновил стационар и все работало.
Утром включаю комп, а сеть не подключается.
Тогда включил ноутбук, там сеть работает.
Обновился и там сеть пропала.
При перезагрузке сеть продолжала работать,
а после холодного старта, после выключения, сеть пропадала.
Хорошо что есть локальное зеркало с более ранними версиями пакетов, как раз для таких случаев.
Откатил оттуда networkmanager-1.48.10.
Сеть поднялась и смог откатить networkmanager на abf.

termim писал(а): 06 янв 2025, 04:49 На этот случай есть root и возможность подписать пакет руками.

Вам не приходило в голову, что люди, которые это могут сделать,
как и вся страна, находятся на новогодних каникулах.
И что рабочий репозиторий сейчас закрыт.

VictorR2007 писал(а): 06 янв 2025, 11:00 networkmanager

Почему-то в последних образах rosa13_plasma6 именно этот нерабочий и стоит...
Смотрел в праздники от нечего делать.

ans писал(а): 09 янв 2025, 06:54 Почему-то в последних образах rosa13_plasma6 именно этот нерабочий и стоит...
Смотрел в праздники от нечего делать.

Ага, в двух последних.
Нужно будет собрать ещё образ, когда сегодня закону обновление KDE Gear до версии 24.12.1

VictorR2007 писал(а): 05 янв 2025, 23:57 Не влом.
Но не получится.

Ну можно было бы сразу объяснить, а не уверять, что ситуация нормальная. Для меня лично, это неправильное позиционирование, только вызывает недоверие к качеству продукта.

geof писал(а): 17 янв 2025, 11:49 Ну можно было бы сразу объяснить, а не уверять, что ситуация нормальная. Для меня лично, это неправильное позиционирование, только вызывает недоверие к качеству продукта.

Так ведь ситуация именно нормальная.
Не критично, подписан пакет в main на abf Росы или нет. Его всё равно не подменить извне. Он не расположен на площадке врага, как в случае многих других пакетов.

Фреш, как продукт, не продаётся. Имхо, не стоит пытаться присвоить ему свойства того, что продаётся. Фрешу от этого продолжит быть не холодно и не жарко. Зато тем, кто не понимает разницы между бесплатным и платным, просто придётся платить за бесплатное.
Хотя это скорее философия.