Vérification des paquets par pacman
4 juin 2012 - FoolEcho
Au cours des six derniers mois, les caractéristiques de vérification de paquets par pacman ont été désactivées par défaut tandis que nous nous débrouillions des détails de notre infrastructure à clé publique.
Elles ont finalement été activées dans pacman-4.0.3-2 ; quand vous mettrez à niveau, vous serez invité à exécuter:
pacman-key --init pacman-key --populate archlinux
Ceci met en place un trousseau de clés local pour pacman, et le remplit avec les données nécessaires pour authentifier les paquets officiels. Cela comprend cinq clés principales utilisées pour authentifier les packagers Arch Linux (développeurs et utilisateurs de confiance), vous n’avez donc pas besoin de savoir qui rejoint ou quitte l’équipe: vous n’avez qu’à vérifier ces 5 clés principales une fois pour toutes. L’option populate vous invitera à le faire; veillez à vérifier avec précaution les empreintes affichées par rapport à celles publiées sur notre site web
Ensuite, fusionnez votre pacman.conf avec pacman.conf.pacnew, ce dernier activant la vérification des paquets grâce à l’option SigLevel, et vous devriez être quitte.
Pour plus de détails sur le développement de pacman et archlinux-keyring, voir les articles du blog d’Allan et Pierre.