[devel] Как узнать, что пакет установлен из репозитория?

Dmitry V. Levin ldv на altlinux.org
Пт Апр 28 21:33:15 MSK 2023


On Fri, Apr 28, 2023 at 09:22:34PM +0300, Alexey Shabalin wrote:
> пт, 28 апр. 2023 г. в 12:42, Paul Wolneykien <manowar на altlinux.org>:
> >
> > В Fri, 28 Apr 2023 09:37:12 +0300
> > Anton Farygin <rider на basealt.ru> пишет:
> >
> > > On 28.04.2023 01:26, Dmitry V. Levin wrote:
> > > > Непонятно, зачем хочется это знать, особенно если ...
> > >
> > > Хочется иметь ответ на вопрос - установленный пакет установлен из
> > > официального репозитория или собран кем-то на стороне.
> > >
> > > Я не пойму как это можно было бы вычислить с помощью апта, у которого
> > > подпись репозитория меняется ежедневно.
> >
> >   А почему, всё-таки, недостаточно подписи пакета на сборочнице? Если
> > пакет собран на стороне, то он не может быть подписан ключом сборочницы.
> > Разве что тот, кто собирает на стороне, имеет доступ к секретному ключу
> > сборочницы — но это очень ограниченный круг людей, так ведь?
> 
> Может потому что даже наш собственный rpm не знает какими ключами
> подписаны наши пакеты?
> rpm --checksig Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm
> Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm: (RSA) sha1 md5
> (GPG) НЕ ОК (ОТСУТСТВУЮТ КЛЮЧИ: RSA#da2773bb GPG#da2773bb)

$ rpmkeys -v --checksig --dbpath /usr/lib/alt-rpmkeys -- Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm
Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm:
    Header V4 RSA/SHA512 Signature, key ID da2773bb: OK
    Header SHA1 digest: OK (5578f8a19c28f24ec4aac7c3ff3dd9fbdf763dad)
    MD5 digest: OK (6923865877990a03ac544f96da4c8dd6)
    V4 RSA/SHA512 Signature, key ID da2773bb: OK

$ alt-rpmkeys-checksig Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm 
ALT Sisyphus <alt-sisyphus на altlinux.org>


-- 
ldv


Подробная информация о списке рассылки Devel