[devel] I: debuginfod.altlinux.org

[Alexey V. Vissarionov]

On 2020-11-29 12:51:17 +0300, Vitaly Chikunov wrote:

 >>>>>> И ещё вопрос: есть ли какая-то защита от MITM?
 >>>>> Сейчас можно сделать:
 >>>>> export DEBUGINFOD_URLS="https://debuginfod.altlinux.org/"
 >>>>> Потом http:// для debuginfod API будет отключен, а со
 >>>>> странички с информацией будет редирект на https.
 >>>> Может, лучше подписи пакетов проверять? Один раз запускаем
 >>>> rpmsign, а потом спокойно раздаем хоть по HTTP, хоть по FTP,
 >>>> хоть вообще на забор вывешиваем...
 >>> В debuginfod протоколе приезжает не весь RPM пакет, а только
 >>> .debug бинарник соответствующий build-id стрипнутого бинарника.
 >> А они где-то заранее сгенерированы или всякий раз выдергиваются
 >> из debuginfo-пакетов?
 > Всякий раз. Архив занимает многие терабайты места.

Многие - это сколько?

 > Уже скачанный бинарик не перескачивается, а лежит в
 > ~/.cache/debuginfod_client/.

Хорошо бы в каком-нибудь мануале порекомендовать готовую строчку
для crontab наподобие

1 1 * * *  find ~/.cache/debuginfod_client -type f -atime +30 -delete

 >> В первом случае их опять же можно подписать (gpg --detach-sign)
 >> и скачивать оба файла (.debug и .debug.gpg), а во втором, думаю,
 >> надо менять концепцию и генерировать эти файлы заранее -
 >> заодно появится возможность их зеркалить и использовать локальную
 >> копию (а то и anycast). Иначе, боюсь, никаких ресурсов не хватит.
 > По изменению протокола, видимо, нужно писать в Редхат.

Если уж менять протокол - то предусмотреть выдергивание пакетов из
локальной репы (зеркала). Хотя насчет "никаких ресурсов не хватит"
я, возможно, был излишне пессимистичен: что debuginfo-пакеты, что
куски их содержимого бывают нужны пренебрежимо редко, и даже одного
сервера для них может быть вполне достаточно.

Но подпись файла заведомо лучше любой защиты канала.


-- 
Alexey V. Vissarionov
gremlin ПРИ altlinux ТЧК org; +vii-cmiii-ccxxix-lxxix-xlii
GPG: 0D92F19E1C0DC36E27F61A29CD17E2B43D879005 @ hkp://keys.gnupg.net