The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Fedora 44 в RPM намерены активировать проверку пакетов по цифровой подписи

24.10.2025 09:46

В выпуске Fedora Linux 44, намеченном на весну 2026 года, планируют включить по умолчанию проверку пакетов по цифровой подписи в RPM. Если план будет утверждён комитетом FESCo (Fedora Engineering Steering Committee), отвечающим за техническую часть разработки Fedora Linux, по умолчанию смогут быть установлены только пакеты с корректной цифровой подписью. При необходимости ручной установки пакетов предусмотрена возможность обхода проверки через явный запуск RPM с флагом "--nosignature" или отключение проверки через использование соответствующего API.

Функциональность для верификации пакетов по цифровой подписи была реализована в пакетном менеджере RPM 6.0, но в Fedora 43, несмотря на переход на RPM 6, на уровне RPM продолжает использоваться только проверка целостности по хэшам, а подлинность пакетов из репозиториев проверяется на уровне высокоуровневых пакетных менеджеров YUM и DNF, в которых возможность верификации по цифровым подписям была реализована изначально и включена по умолчанию. Теперь подобную проверку намерены задействовать на уровне RPM. В случае одобрения изменения в Fedora 44 при установке пакетов через RPM будет выполняться как проверка целостности по хэшу, так и проверка подлинности по цифровой подписи, заверенной ключом сборщика пакета.

При попытке установки пакетов без подписи или с некорректной подписью по умолчанию будет выводиться ошибка, если пользователь явно не запустил rpm с флагом "--nosignature". Для работы с внешними репозиториями, не формирующими цифровые подписи, в пакетный менеджер DNF 5.2.14.0 добавлена возможность выборочного отключения в RPM верификации в привязке к отдельным пакетам. Данная возможность задействована в инструментарии Mock (mock-core-configs) для работы с новыми сборками пакетов. В Mock также добавлен плагин для формирования подписей для локальной собираемых пакетов, а в сервисе Copr (Community projects) реализована возможность автоматического формирования подписей.

Дополнительно можно отметить утверждение даты выпуска Fedora 43, который состоится 28 октября.

  1. Главная ссылка к новости (https://www.mail-archive.com/d...)
  2. OpenNews: Релиз пакетного менеджера RPM 6.0
  3. OpenNews: В Fedora планируют включить изоляцию системных сервисов
  4. OpenNews: Утверждено обеспечение повторяемых сборок в Fedora
  5. OpenNews: Выпуск дистрибутива Fedora Linux 42
  6. OpenNews: В Fedora намерены прекратить поддержку 32-разрядной архитектуры x86
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64107-fedora
Ключевые слова: fedora, rpm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:04, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –6 +/
    То есть я не смогу скачать с freshmeat сборку ffmpeg со включенной поддержкой mp3? И даже бесплатный fluendo для gstreamer не смогу установить? Только CodecBuddy за деньги?
     
     
  • 2.3, Аноним (3), 10:10, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +12 +/
    В первом же абзаце новости написано "При необходимости ручной установки пакетов предусмотрена возможность обхода проверки через явный запуск RPM с флагом "--nosignature"
     
     
  • 3.9, Аноним (9), 11:31, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > предусмотрена возможность

    Это пока предусмотрена. А потом - как в гугле будет, по паспорту. К этому идёт всё.

     
     
  • 4.13, Bob (??), 12:31, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Вот потом и приходи, а сейчас - прекращай бредить.
     
     
  • 5.16, AleksK (ok), 13:11, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Он не бредит. Все так и есть. Потом уберут возможность отключения. Придется писать свои костыли.
     
     
  • 6.20, Аноним (20), 14:19, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Прямо щас притупить? Всё равно ценник задирать.
     
  • 6.26, Admino (ok), 17:15, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А на орбите летает чайник.
     
  • 5.23, Аноним (23), 15:14, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Когда умрёте, тогда и приходите жаловаться?
     
  • 5.28, Аноним (-), 17:22, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Вот потом и приходи, а сейчас - прекращай бредить.

    Ого сколько белок-истеричек на твой комент набежало.
    Но можешь не утруждаться с попытками их в чем-то убедить - шиза не лечится.

     
  • 2.6, Аноним (6), 10:31, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Пока проверку можно отключить, сможете что угодно установить. Когда через пару лет эту возможность уберут, можете начинать переживать.
     
  • 2.25, Admino (ok), 17:13, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Было: надо подключить сторонний репозиторий, добавить подпись в хранилище доверенных подписей, установить.

    Стало: надо скачать сторонний пакет, добавить подпись в хранилище доверенных подписей, установить.

    Негодяи, усложняют жизнь людям.

     

  • 1.2, Аноним (2), 10:08, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Для работы с внешними репозиториями, не формирующими цифровые подписи

    А есть ли проблема ключ добавить, или он в бинарь теперь захардкожен, а бинарь секурбутом и lockdownом защищён?

     
  • 1.4, Аноним (20), 10:14, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    А не было что ли? )
     
  • 1.5, Аноним (5), 10:26, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    А потом неотключаемый Secureboot, исключение опции --nosignature  и пользователя root. Ради безопасности конечно и для защиты детей.
     
     
  • 2.7, fggjdgj (?), 11:01, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Какое-то нытье и скулеж
     
     
  • 3.10, Wrt (?), 11:45, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому, что уже все поехали на этой мифической безопасности под предлогом которой формируют из пользователей стадо баранов за высоким забором.
     
     
  • 4.14, Bob (??), 12:32, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    не надо ничего формировать, стадо всегда было стадом

    изучаем "психология толпы", запасаемся попкорном с колой и наблюдаем

     
  • 4.15, Аноним (-), 13:04, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Воу-воу, как наезды.
    А контрольные суммы md5 для проверки когда придумали?
    А подписывние rpm пактов при помощи pgp?
    У шапки оно уже лет 5, а появилось гораздо раньше, лет 10-15 назад.

    Просто мир поменялся.
    И верить на слово людям в интернетах глупо.
    А принимать пакет от анона стало просто опасно.

     
     
  • 5.35, Васян (?), 21:27, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А разрабы фидоры перестали на флешке с винтоем затирать бутовый раздел?
     
  • 2.12, Аноним (12), 12:02, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    SecureBoot что в Федоре, что в Убунте работает вообще без всяких проблем.
     
     
  • 3.17, AleksK (ok), 13:13, 24/10/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    А теперь поставь в Ubuntu ядро от Xanmod.
     

  • 1.30, Аноним (30), 17:38, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Я не понимаю, а в чём проблема? Сносим федору, и дело с концом. Ну а потыкать в виртуалке можно и цифровыми подписями.
     
  • 1.31, Аноним (30), 17:41, 24/10/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Кстати, тем кто волнуется о невозможности установки пакетов - вы даже существующие пакеты пересобрать не сможете.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру