Vihar után - a Fedora update megoldása

Beküldte lberes - 2008, szeptember 13 - 09:39
Témák: 
Biztonság
Rpm
Fedora
Yum
Fedora 8
Fedora 9

Az elmúlt hetek nagy felzúdulást kavart eseményei után mindenki kíváncsian várta, vajon hogyan oldja meg a Fedora Team a kulcscserét. Az RPM-hitelesítésre szolgáló GPG-kulcsok lecserélése, az új kulcsok felhasználókhoz való eljuttatása, a minél egyszerűbb váltás lebonyolítása nem triviális feladat. Lássuk, hogyan történt mindez a Fedora 8 és 9 esetében.

Mint ahogy már többször írtunk erről (ld. itt), egy augusztusi esemény során egy támadó behatolt a Fedora aláírórendszerébe. A belső vizsgálat során megállapításra került, hogy a támadó nem fért hozzá magához a kulcshoz, így hamis signature-rel rendelkező csomagokat sem tudott készíteni. Ennek ellenére a Fedora Infrastructure Team úgy döntött, hogy lecseréli a kulcsot, valamint a korábbi RPM-eket is újraszignózza. Érthető módon elég körültekintően kellett megszervezni a dolgot, úgy, hogy lehetőség szerint egy átlagos, a folyamatból mit sem értő felhasználó is zökkenőmentesen tudja frissíteni a rendszerét.

A megoldás viszonylag egyszerű, mégis nagyszerű lett. Ahogy arról Jesse Keatings is beszámolt, a régi updates repository tartalmát kiürítették, és csak néhány, az átálláshoz szükséges csomagot hagytak benne:

PackageKit-0.2.5-1.fc9.i386.rpm
PackageKit-cron-0.2.5-1.fc9.i386.rpm
PackageKit-devel-0.2.5-1.fc9.i386.rpm
PackageKit-libs-0.2.5-1.fc9.i386.rpm
fedora-release-9-5.transition.noarch.rpm
gnome-packagekit-0.2.5-2.fc9.i386.rpm
udev-packagekit-0.2.5-1.fc9.i386.rpm
unique-0.9.4-5.fc9.i386.rpm
unique-devel-0.9.4-5.fc9.i386.rpm
yum-packagekit-0.2.5-1.fc9.i386.rpm

Ezzel párhuzamosan az új aláírással rendelkező csomagokat egy updates-newkey nevű repositoryban helyezték el.

A fenti csomagok közül a fedora-release-9-5.transition a legfontosabb: a csomagban helyet kapott az új kulcs, illetve az updates-newkey-re vonatkozó repofájlok. Telepítése után a rendszer továbbra is fogja használni az updates repot, ámde mivel abba már semmi új nem kerül, mindössze a kellemetlen incidens mementójául szolgál, az új frissítések az updates-newkeyből kerülnek hozzánk.

A kulcscserét megelőzően, illetve induláskor többen panaszkodtak jogosultsági, illetve kulcskezelési hibákra, ezek javítását a PackageKit frissítések között találjuk. További meglepetésekkel szembesülhetünk abban az esetben, ha olyan mirrorról dolgozunk, amely nem az összes frissítőcsomagot tartalmazza, ilyenkor a yum --skip-broken kapcsolóját célszerű használni.

Az eddig általunk elvégzett közel 30 gép frissítése apróbb malőröktől eltekintve problémamentesen zajlott, a fenti tanácsok figyelembevételével mások is elvégezhetik a feladatot.

A hivatalos információk itt olvashatók.

  • 553 olvasás