Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fedora 34 n'est plus maintenu

#1 11/10/2006 02:13:13

kwizart
Rédacteur Wiki
Rédacteur Wiki
Lieu : Paris, France
Inscription : 21/01/2005
Messages : 7 140
Site Web

A propos de la signature des paquet rpms !

A propos de la signature des paquet rpms sur mon dépot!

Je n'avais pas compris pourquoi certains utilisateurs m'ont rapporté que mes packages n'etaient pas signés - J'avais trouvé qu'il fallait récupérer puis importer la clef en faisant un rpm --import RPM-GPG-KEY-kwizart  - Hors je me suis apercu que lorsqu'on installe un paquet signé avec une clef non-importée, celui-ci reconnait à quel endoit est situé la clef et l'importe automatiquement. Mais ce n'est pas le cas pour les paquet rpms que j'ai compilé!

warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 30c9ecf8
Public key for kernel-xen0-devel-2.6.18-1.2189.fc5.x86_64.rpm is not installed
Retrieving GPG key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-test
Importing GPG key 0x30C9ECF8 "Fedora Project (Test Software) <rawhide@redhat.com>"
Is this ok [y/N]: y
Key imported successfully

Mon rpm de définition du dépot (basé sur celui de livna) positionne bien la clef au bon endroit:

install -Dpm 644 %{SOURCE0} \
    $RPM_BUILD_ROOT%{_sysconfdir}/pki/rpm-gpg/RPM-GPG-KEY-kwizart

J'ai donc modifié le .rpmmacros (même si ce n'est pas le builder qui signe)
%_signature     gpg
%_gpg_name      kwizart
%_gpg_path              %(echo $HOME)/.gnupg
en
%_gpg_path      /etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart


Est ce que cela vous semble cohérant? J'ai du rater ce "détail" dans le tutorial!

Hors ligne

#2 11/10/2006 03:01:06

web123
Membre
Inscription : 11/10/2006
Messages : 108

Re : A propos de la signature des paquet rpms !

> Je n'avais pas compris pourquoi certains utilisateurs m'ont rapporté que mes packages n'etaient pas signés

Si on te dit qu'ils ne sont pas signés...

J'ai l'impression que tu ne signes pas tes paquets.

Es-ce que tu signes tes paquets ?
As-tu fait "rpm --sign" ?

Un exemple de paquets signés et non signés :
$ rpm -K gnupg-1.4.5-4.i386.rpm
gnupg-1.4.5-4.i386.rpm: (sha1) dsa sha1 md5 gpg OK # signé avec GPG
$ rpm -K /var/fedora/core/i386/httpd-2.2.3-5.i386.rpm
httpd-2.2.3-5.i386.rpm: sha1 md5 OK # pas signé
$ rpm -K -v gnupg-1.4.5-4.i386.rpm
gnupg-1.4.5-4.i386.rpm:
    Entête V3 DSA signature: OK, key ID 897da07a
    Hachage de l'entête SHA1: OK (973d8f3df28902084824db01cc44018488874e76)
    Somme MD5: OK (afd71e202190e19b6eb24a8c0a6bed91)
    V3 DSA signature: OK, key ID 897da07a
$ rpm -K -v httpd-2.2.3-5.i386.rpm
httpd-2.2.3-5.i386.rpm:
    Hachage de l'entête SHA1: OK (a1e8169870e702b061c973736529f37be752d745)
    Somme MD5: OK (7960e6f6650fc914d29c078d8c67da2a)

PS : lisez le message suivant.

Dernière modification par web123 (11/10/2006 03:31:10)

Hors ligne

#3 11/10/2006 03:30:24

web123
Membre
Inscription : 11/10/2006
Messages : 108

Re : A propos de la signature des paquet rpms !

Que la honte m'accable, tes paquets sont signés.

Sinon voilà chez moi :
[c]# yum install httrack
[...]
Installing:
httrack                 i386       3.40.3-1.fc5     kwizart           1.7 M
[...]
Is this ok [y/N]: y
Downloading Packages:
warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 5b01f801
Importing GPG key 0x5B01F801 "Nicolas Chauvet (kwizart) <kwizart@gmail.com>"
Is this ok [y/N]: y [/c]

Voilà ce que j'ai ajouté à ton /etc/yum.repos.d/kwizart.repo :
[c][kwizart]
[...]
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart

[kwizart-debuginfo]
[...]
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart

[kwizart-source]
[...]
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart[/c]

On peut voir que yum ne fait pas une recherche dans /etc/pki (c'est dommage). Il faut lui dire où est la clée public.

Hors ligne

#4 12/10/2006 15:49:51

kwizart
Rédacteur Wiki
Rédacteur Wiki
Lieu : Paris, France
Inscription : 21/01/2005
Messages : 7 140
Site Web

Re : A propos de la signature des paquet rpms !

Lu! Merci pour le mp - Je ne suis pas abonné aux messages que je créé depuis la "grande transition"!

Il va falloir que je modifie la définition de mon dépot! Je n'ai pas encore testé... Je trouve cela bizare quand même puisque j'ai recopié presque bêtement celui de livna et que j'ai du remplacer leur clef par la mienne!!!

Par contre ceci doit être réservé au signeur vraisembleblement?

%_signature     gpg
%_gpg_name      kwizart
%_gpg_path      /etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart

A moins qu'en ajoutant cela il trouve enfin la clef comme pour les rpm livna... Ce qui signifie que j'ai plus qu'à tout recompiler...

Hors ligne

#5 12/10/2006 22:22:50

web123
Membre
Inscription : 11/10/2006
Messages : 108

Re : A propos de la signature des paquet rpms !

kwizart a écrit :

Par contre ceci doit être réservé au signeur vraisembleblement?

%_signature     gpg
%_gpg_name      kwizart
%_gpg_path      /etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart

A moins qu'en ajoutant cela il trouve enfin la clef comme pour les rpm livna... Ce qui signifie que j'ai plus qu'à tout recompiler...

Le .rpmmacros est que pour celui qui fait les paquets. Ce n'est jamais vu par Yum.

Relis bien ce que j'ai mis au-dessus. Tes paquets sont OK ! Inutile de les recompiler ou signer.
Il n'y a pas à les toucher (du moins pour ce problème précis).

Il manque seulement dans la configuration de Yum (plus précisément dans le fichier /etc/yum.repo.d/kwizart.repo) l'information qui indique quelle clée public doit utiliser Yum pour vérifier la signature des paquets qui appartiennent aux dépôts kwizart, kwizart-debuginfo et kwizart-source.
C'est l'intention de la ligne "gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart" dans le fichier /etc/yum.repos.d/kwizart.repo .

Il faut seulement que tu modifies ton fichier /etc/yum.repos.d/kwizart.repo (qui est dans le paquet kwizart-release) et ajouter "gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart".

Exemple de fichier /etc/yum.repos.d/kwizart.repo "correct" :
[c][kwizart]
name=kwizart for Fedora Core $releasever - $basearch - Base
baseurl=
    http://kwizart.free.fr/fedora/$releasever/$basearch/
failovermethod=priority
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart

[kwizart-debuginfo]
name=kwizart for Fedora Core $releasever - $basearch - Debug
baseurl=
    http://kwizart.free.fr/fedora/$releasev … rch/debug/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart

[kwizart-source]
name=kwizart for Fedora Core $releasever - $basearch - Source
baseurl=
    http://kwizart.free.fr/fedora/$releasever/SRPMS/
enabled=0
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-kwizart[/c]

Hors ligne

Pied de page des forums