Du bist nicht angemeldet.

#1 17.01.2012 00:55:00

stefanhusmann
Moderator

pacman 4 in den [core]-Repos

Pacman 4 ist (endlich) im [core]-Repo gelandet. Dank 24 fleißigen
Mitarbeitern mit 893 Commits seit der letzten Version gibt es
viel Neues.

Besonders wichtig für alle ist die Unterstützung gpg-signierter
Pakete. Da noch nicht alle Pakete signiert sind und noch nicht alle
Paketierer im Schlüssel-Ring sind, ist dieses Feature standardmäßig
noch ausgeschaltet. Man kann aber die meisten Pakete schon so
installieren.

Dokumentiert ist das Ganze zunächst nur auf Englisch im
Wiki und in Allan McRae's Blog.

Wie eigentlich immer, aber besonders jetzt sollte man bei
Systemaktualisierungen auf die Meldungen achten, die Pacman dabei
ausgibt, und die entsprechenden Zusammenführungen der *.pacnew-Dateien
vornehmen.

Edit: Dieser Post kommt spät, und leider zu spät für manchen, den es unvorbereitet trifft. Sorry dafür.

Offline

#2 17.01.2012 07:55:08

Pierre
Entwickler

Re: pacman 4 in den [core]-Repos

Für all die pyalpm (benötgt von namcap) installiert haben, sollten es zu den SyncFirst-Optionen in pacman.conf hinzufügen, damit ein Update gelingt:

SyncFirst   = pacman pyalpm

Offline

#3 17.01.2012 19:21:26

sven_s
Mitglied

Re: pacman 4 in den [core]-Repos

Also die Ausgabe von

sudo pacman-key --init

ist aber auch geil, wenn dem Programm Zufallswerte  fehlen:

Es sind nicht genügend Zufallswerte vorhanden.  Bitte führen Sie andere
Arbeiten durch, damit das Betriebssystem weitere Entropie sammeln kann!

Also in der Schule behandeln wir den Entropie-Begriff nicht und pacman wirt ihn mal so nebenbei raus. ;-)

Offline

#4 17.01.2012 20:27:13

derhil
Mitglied

Re: pacman 4 in den [core]-Repos

Wenn

pacman-key --init

einem folgendes

Es sind nicht genügend Zufallswerte vorhanden.  Bitte führen Sie andere
Arbeiten durch, damit das Betriebssystem weitere Entropie sammeln kann!

an den Kopf wirft, hilft folgendes:

- Paket rng-tools installieren
- wenn man keine Lust hat es selber aus dem AUR zu bauen: i686 / x86_64

- separates Terminal öffnen und

rngd -f -r /dev/urandom

ausführen.

Offline

#5 17.01.2012 21:14:34

sven_s
Mitglied

Re: pacman 4 in den [core]-Repos

Ach kein Problem, ich lass de Computer eh noch ein bisschen laufen. Nach ein paar Reboots und Terminalarbeit sollten diese Daten auch generiert worden sein.
Dann hat sich die Entropie meines OS wieder erhoeht. ;-)

Aber danke fuer den Tipp.

Offline

#6 18.01.2012 07:18:49

waldbaer59
Mitglied

Re: pacman 4 in den [core]-Repos

Ok, aber es hat bei mir völlig gereicht, dann zwei beliebige Anwendungen kurz zu starten und er hatte in seinem Terminalfenster genügend Zufallswerte zusammen.
Daher habe ich dem Ganzen nicht allzu viel Beachtung geschenkt ...

Offline

#7 18.01.2012 09:13:42

r3vilo
Mitglied

Re: pacman 4 in den [core]-Repos

Ich hab einfach nur die pacman.conf kopiert (Sicherheitskopie) u. dann war's schon soweit *g* Wahrscheinlich reichts sogar, wenn man ein einfaches Textdokument erstellt u. abspeichert.

Offline

#8 18.01.2012 11:41:06

teeno
Mitglied

Re: pacman 4 in den [core]-Repos

Ich hab jetzt beim Update auch sudo pacman-key --init eingetippt, dachte wird schon passen...und nu kommt bei jeder Instalation oder Update folgendes:

(17/17) Überprüfe Paket-Integrität                   [---------------------------] 100%
Fehler: colord: signature from "Ionut Biru <ibiru@archlinux.org>" is unknown trust
Fehler: ethtool: signature from "Ionut Biru <ibiru@archlinux.org>" is unknown trust
Fehler: gmime: signature from "Ionut Biru <ibiru@archlinux.org>" is unknown trust
Fehler: gvfs: signature from "Dave Reisner <d@falconindy.com>" is unknown trust
Fehler: gvfs-smb: signature from "Dave Reisner <d@falconindy.com>" is unknown trust
Fehler: inetutils: signature from "Eric Belanger <eric@archlinux.org>" is unknown trust
Fehler: intltool: signature from "Eric Belanger <eric@archlinux.org>" is unknown trust
Fehler: libreoffice-de: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-common: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-base: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-calc: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-draw: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-impress: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-math: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: libreoffice-writer: signature from "Andreas Radke <andyrtr@archlinux.org>" is unknown trust
Fehler: totem-plparser: signature from "Ionut Biru <ibiru@archlinux.org>" is unknown trust
Fehler: unrar: signature from "Giovanni Scafora <giovanni@archlinux.org>" is unknown trust
Fehler: Konnte den Vorgang nicht durchführen (Ungültiges oder beschädigtes Paket (PGP-Signatur))
Fehler sind aufgetreten, keine Pakete wurden aktualisiert.

Was kann ich denn jetzt machen? War wohl keine so gute Idee des auszuführen. ):

Offline

#9 18.01.2012 12:34:37

Pierre
Entwickler

Re: pacman 4 in den [core]-Repos

Du kannst zunächst die Verifizierung deaktivieren. Füge dazu "SigLevel = Never" in den "[options]"-Bereich von pacman.conf ein. Daher auch der Hinweis auf die Unterschiede in der .pacnew-Datei zu achten.

Offline

#10 18.01.2012 13:07:47

Xukashi
Mitglied

Re: pacman 4 in den [core]-Repos

was mir aufgefallen ist, ist das die db.sig datein nicht auf den servern zu finden sind. kommen die nach wenn alle pakete signiert sind oder wie laeuft des ab?
was noch n bisl nervig ist, ich bin momentan ueber umts im netz und bei einem pacman -Syu kommt momentan noch meisst die abfrage ob ich den pgp schluessel von dem paketierer importieren moechte. das klappt aber meisst erst nach nem 2-3 mal. ich tipp mal das einfach die zeit der abfrage zu kurz ist. gibt es ne moeglichkeit dieses einzustellen um festzulegen wie lang er abfragen darf oder gibt es ne moeglichkeit pacman zu sagen das ers bitte 2-3x versuchen soll?

gruss ben

Beitrag geändert von Xukashi (18.01.2012 13:09:53)

Offline

#11 18.01.2012 18:49:14

sven_s
Mitglied

Re: pacman 4 in den [core]-Repos

Also, da ich Archlinux auf einem kleinen Server laufen habe, auch keine unnoetige Software (rng-tools) installieren wollte und durch Textbearbeitung und Reboots auch nicht genug Entropie zusammen kam, habe ich ganz einfach in einem Terminal per SSH

cat * > /dev/null

ausgefuhert und in einem anderen noch

top

und schon waren genug Zufallswerte da.

Offline

#12 18.01.2012 21:04:13

mabunix
Mitglied

Re: pacman 4 in den [core]-Repos

Hi,
ich habe gerade ein "pacman -Syu" machen wollen und erhielt folgende Meldung und komme nicht weiter:

$ sudo pacman -Syu
Passwort: 
:: Synchronisiere Paketdatenbanken...
 core ist aktuell
 extra ist aktuell
 community ist aktuell
 multilib ist aktuell
:: Die folgenden Pakete sollten zuerst aktualisiert werden :
    pacman  pyalpm
:: Möchten Sie den laufenden Prozess abbrechen
:: und diese Pakete nun aktualisieren? [J/n] J

Löse Abhängigkeiten auf...
Suche nach Zwischenkonflikten...
Fehler: Konnte den Vorgang nicht vorbereiten (Kann Abhängigkeiten nicht erfüllen)
:: package-query: benötigt pacman<3.6

Ich verstehe nicht ganz was ich jetzt machen soll?

VIele Grüße,
Marcus

Offline

#13 18.01.2012 21:14:26

SaThaRiel
Mitglied

Re: pacman 4 in den [core]-Repos

yaourt und package-query deinstallieren (pacman -R yaourt package-query) und nach der Installation von pacman wieder installieren.

Offline

#14 18.01.2012 21:20:31

derJupp
Mitglied

Re: pacman 4 in den [core]-Repos

Nabend zusammen ,
puh das war die Lösungs- Antwort smile Danke funktioniert super

Offline

#15 18.01.2012 21:23:26

sven_s
Mitglied

Re: pacman 4 in den [core]-Repos

Deinstallieren braucht man eigentlich nicht. Es reicht in der Datei /etc/pacman.conf die Zeile von

SyncFirst   = pacman

nach

SyncFirst   = pacman package-query

zu aendern.

Offline

#16 18.01.2012 21:32:17

mabunix
Mitglied

Re: pacman 4 in den [core]-Repos

Danke smile Bei mir hat es nur mit vorheriger De-Installation funktioniert....

Beitrag geändert von mabunix (18.01.2012 21:33:01)

Offline

#17 19.01.2012 08:54:03

danbruegge
Mitglied

Re: pacman 4 in den [core]-Repos

Ich habe ähnliches Problem wie teeno.

Gibt es nicht eine allgemein gültige Liste mit Authorisierten Schlüsseln?

Ich stelle mir die Authorisation bei einer Neuinstallation recht umständlich vor. Vielleicht habe ich aber auch nur etwas falsch verstanden.

Offline

#18 19.01.2012 09:01:41

SaThaRiel
Mitglied

Re: pacman 4 in den [core]-Repos

stefan hat oben einen Link zum englischen Wiki, da steht was drin.

Ich hätte mir auch eher gewünscht, daß es einen Masterkey gibt (oder ggf. für jedes Repo einen), mit dem die Pakete dann signiert werden - und ein "Key-Paket" als Abhängigkeit von Pacman mit installiert wird. Das würde das ganze übersichtlicher und vor allem sicherer machen. Im Moment akzeptiere ich einfach alle Keys ohne wirklich zu wissen, ob der Signierer ein TU ist und ob der Key stimmt.

Aber natürlich sind digitale Signaturen nicht so richtig einfach - ansonsten würden sie sicher viel häufiger eingesetzt werden. Und wie kann man sicher stellen, daß das Key-Paket auch wirklich die richtigen Keys enthält? Aber ich bin sicher, daß in Zukunft noch einige Änderungen/Verbesserungen zum Arch-Paketmanagement mit Signierung kommen werden.

Offline

#19 19.01.2012 14:21:36

asdf
Gast

Re: pacman 4 in den [core]-Repos

Es hat schon seinen Grund, weshalb das Überprüfen der Signaturen im Moment standardmäßig deaktiviert ist. Eben weil die Infrastruktur noch nicht komplett ist.
Soweit ich es verfolgt habe, ist der Plan folgender:
- Alle Entwicklerkeys werden mit den Masterkeys unterschrieben
- Es wird ein Paket erstellt in dem die Masterkeys enthalten sind und die von pacman automatisch erkannt werden. Evtl. müssen die Masterkeys noch manuell überprüft und als vertrauenswürdig markiert werden.
- Alle Entwicklerkeys, die von mindestens 3 Masterkeys signiert wurden, werden von pacman automatisch als vertrauenswürdig angesehen

#20 20.01.2012 16:17:16

GerBra
Mitglied

Re: pacman 4 in den [core]-Repos

Tip: da es scheinbar öfters zu nicht gefundenen öffentlichen Schlüsseln kommt: Es bietet sich an ggf. mehrere Keyserver in die /etc/pacman.d/gnupg/gpg.conf zu stellen und/oder auch das Timeout zu erhöhen. Bei den Keyservern kann ruhig auch eienr sein, der z.B. über HTTP abgefragt wird wenn es ggf. in manchen Umgebungen Probleme mit HKP gibt.

Offline

#21 20.01.2012 16:58:23

GerBra
Mitglied

Re: pacman 4 in den [core]-Repos

SaThaRiel schrieb:

Im Moment akzeptiere ich einfach alle Keys ohne wirklich zu wissen, ob der Signierer ein TU ist und ob der Key stimmt.

Da würde sich auch anbieten, sich etwas mit Signaturen und Schlüssel(managment) zu beschäftigen.

Kurz evtl. zur "Erhellung":
a) Die Fragen bei den normalen pacman -Syu Vorgängen, daß z.B. Pierres Key nicht vorhanden ist und ob man diesen runterladen will:
Das hat (noch) nichts mit Vertrauen o.ä. zu tun, man fügt durch Y/J lediglich diesen Schlüssel zu seinem (bzw. pacmans) Schlüsselring hinzu. Das ist die Vorraussetzung, damit mit dem Schlüssel überhaupt gearbeitet werden kann. Z.B. habe ich in meinem Keyring für Emails ca. 8000 Schlüssel anderer Leute, daß heißt aber nicht das ich diesen Schlüssel "traue" sondern eben nur daß mir die Schlüssel schon bekannt sind wenn z.B. eine signierte Email ankommt.

b) Spannend wird es erst im Zusammenhang mit den MasterKeys. Wenn man sich z.B. Pierres Schlüssel (seinen eigenen, 9741E8AC, das ist *nicht* der MasterKey von Pierre! Mit seinem eigenen signiert er seine erstellten Pakete):

# pacman-key --list-sigs 9741E8AC
pub   2048R/9741E8AC 2011-04-10
uid                  Pierre Schmitz <pierre@archlinux.de>
sig     P    65D0FD58 2011-04-11  [User-ID nicht gefunden]
sig          FECE664E 2011-11-12  [User-ID nicht gefunden]
sig 3        9741E8AC 2011-04-10  Pierre Schmitz <pierre@archlinux.de>
sig          6AC6A4C2 2011-11-18  Pierre Schmitz (Arch Linux Master Key) <pierre@master-key.archlinux.org>
sig          824B18E8 2011-11-19  Thomas Bächler (Arch Linux Master Key) <thomas@master-key.archlinux.org>
sig          4C7EA887 2011-11-25  Ionut Biru (Arch Linux Master Key) <ionut@master-key.archlinux.org>
sig          CDFD6BB0 2011-12-01  Dan McGee (Arch Linux Master Key) <dan@master-key.archlinux.org>
sig          8E4B1A25 2011-11-13  [User-ID nicht gefunden]
sig          FFF979E7 2011-12-05  Allan McRae (Arch Linux Master Key) <allan@master-key.archlinux.org>
sub   2048R/54211796 2011-04-10
sig          9741E8AC 2011-04-10  Pierre Schmitz <pierre@archlinux.de>

Hier sieht man, daß die Echtheit seines Schlüssels mindestens von 3 der Archlinux Master Keys bestätigt/(gegen)signiert sind. Die fünf Master Keys hat man ja laut Wiki-Artikel vorher überprüft(Fingerprint) und diesen ein gewisses Vertrauen(trust) ausgesprochen (mindestens Sufe marginales Vertrauen).
//Edit: die Ausgaben oben mit "[User-ID nicht gefunden]" bei mir bedeuten, daß ich diese Schlüssel - die ebenfalls Pierres Schlüssel bestätigen - nicht an meinem Schlüsselring habe. Das kann z.B. ein Schlüssel eines Freundes oder der Uni/Firma sein....

Beim Prüfen der signierten Pakete durch pacman wird Pierres Schlüssel nun deswegen vertraut *weil* er eben von mind. 3 der von mir als vertrauenswürdigen MasterKeys bestätigt wird. Ich persönlich muß seinem Key nicht unbedingt noch extra das Vertrauen aussprechen oder ihn mit dem lokalen "Pacman Keychain Master Key <pacman@localhost>"(erstellt durch pacman-key --init) signieren. Das "Vertrauensgebäude" ist für pacman durch die MasterKeys gegeben.

Anders wäre es dann bei Schlüsseln für fremde Repositorien, die eben nicht durch die offiziellen MasterKeys gegensigniert/bestätigt sind. Diese muß ich dann extra überprüfen(Fingerprint) und eine Stufe des Vertrauens aussprechen. Das ist dann alles mit pacman-key möglich. (ich selbst habe diesen Fall noch nicht, die Praxistauglichkeit wird sich dann rausstellen).

//Edit2, weil ich's witzig finde: man könnte sich ja Updates/Pakete auch per EPost-Brief schicken lassen, evtl. schreibt jemand eine Schnittstelle für pacman... <g> Das wäre ja - laut Post - die ultimative Sicherheit... SCNR!

//Edit3: Zum "Aufwand", den man mit den MasterKeys betreiben muß:
Irgendwo muß bei einem elektronischen Vertrauensgebilde das Vertrauen auch beginnen. Die Lösung mit den Master Keys (und ja, mehrere ist sinnvoll, nicht nur z.B. einer per Repo o.ä.) finde ich eigentlich ok. Wenn man das ganze "Signieren von Paketen fehlt!" ernst genommen hat, dann muß man eben diese 5 Keys gewissenhaft überprüfen. Also wirklich per Fingerprint *und* ich muß mich drauf verlassen, daß die MasterKey-Webseite über https mit den Fingerprints die richtige ist. Hier beginnt Vertrauen...
Die Masterkeys als pacman-Paket (evtl. mit automatischem Vetrauen o.ä.) "bequem" runterzuladen macht zumindest über die diversen Mirrors keinen Sinn (woher will ich wissen daß das MasterKey-Paket vom Mirror kernel.org nicht gefälscht ist...). Bei Neuinstallation steht man so wohl (ungetestet) erstmal vor einem Henne<->Ei-Problem... Das kann wohl zuverlässig wohl nur über vorbereitete Installationsmedien geleistet werden.
Ein Paket mit den Schlüsseln der Devs/TUs kann/wird es wohl schon irgendwan geben, so würde bei der Arbeit mit pacman die o.a. Nachfrage, ob Key xy runtergeladen werden soll, entfallen.

Beitrag geändert von GerBra (20.01.2012 17:54:02)

Offline

#22 20.01.2012 19:16:43

hellmi666
Mitglied

Re: pacman 4 in den [core]-Repos

Pierre schrieb:

Du kannst zunächst die Verifizierung deaktivieren. Füge dazu "SigLevel = Never" in den "[options]"-Bereich von pacman.conf ein.

Das habe ich auch gemacht, damit ich updaten konnte.
Aber was genau muss ich machen, damit das Update bei aktiver Verifizierung funktioniert.
Ich raffe es irgendwie überhaupt nicht, was es mit den Keys und der Signierung auf sich hat.
Ich hoffe, mir kann das jemand "anfängerfreundlich" erklären.

Offline

#23 21.01.2012 02:23:55

GerBra
Mitglied

Re: pacman 4 in den [core]-Repos

Gegenfrage (ich denke, so kommen wir weiter):
Wo hakt/hängt es denn, wenn du dich an den Wiki-Beitrag https://wiki.archlinux.de/title/Pacman-key hältst?

Offline

#24 21.01.2012 09:36:17

Kinch
Mitglied

Re: pacman 4 in den [core]-Repos

Wenn folendes zu einem Key steht:

This key was revoked on 2011-11-19 by RSA key 824B18E8 Thomas Bächler (Arch Linux Master Key) <thomas@master-key.archlinux.org>
sub  1024R/AAE53976  created: 2011-11-19  revoked: 2011-11-19  usage: E   
This key was revoked on 2011-11-19 by RSA key 824B18E8 Thomas Bächler (Arch Linux Master Key) <thomas@master-key.archlinux.org>
sub  2048R/96A8F3F2  created: 2011-11-19  revoked: 2011-11-19  usage: A   

Hat das was zu sagen?

Offline

#25 21.01.2012 10:12:06

hellmi666
Mitglied

Re: pacman 4 in den [core]-Repos

GerBra schrieb:

Gegenfrage (ich denke, so kommen wir weiter):
Wo hakt/hängt es denn, wenn du dich an den Wiki-Beitrag https://wiki.archlinux.de/title/Pacman-key hältst?

Mir ist das alles zu hoch. Ich weiß echt nicht, was ich machen soll, da es offensichtlich keine allgemeine Vorgehensweise gibt. Die weiterführenden/erklärenden Links sind alle auf englisch, wessen ich nicht mächtig bin.
Ergo, ich lass es unsigniert.

Offline

Schnellantwort auf dieses Thema

Schreibe deinen Beitrag und versende ihn
Deine Antwort

Fußzeile des Forums