Ce serait pas un peu le bordel pour les mises à jour des paquets ??

:-)

--------------------------------------------------------------------------------------------------------------------------------------------------
Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés. Confucius

Poste le Tuesday 21 June 2005 11:15:55

Je ne sais pas. Il faudrait juste que le client bt soit "aware" qu'il existe une nouvelle version de tel ou tel paquet, en fait il faudrait juste mettre à jour les infos du tracker il me semble (si j'ai bien compris le fonctionnement de bt). Non ?

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Tuesday 21 June 2005 11:20:44

Je ne connais pas exactement le fonctionnement de torrent, mais il te faut des mirroirs officiels debian, ensuite il faut que celui qui héberge des paquets torrent consulte en permanence les changements de paquets sur les mirroirs de debian pour les télécharger et les mettres à dispo sur son torrent. Pour un peu que ce soit un être humain qui part en vacances de temps à autres, imagines le souk quand tu rentre de vacances pour remettre à jour les paquets qui ont changé sur ton torrent.

Je ne parle même pas des différentes versions de la debian, pour la stable ce serais peut être faisable mais pour testing et unstable pas question, donc à partir du moment où tu as des mirroirs pour la version testing et unstable autant mettre la stable avec.

Torrent est bien par exemple pour partager des images iso de distrib, mais je ne pense pas que ce serrais efficace pour la gestion de paquets.

;-)

--------------------------------------------------------------------------------------------------------------------------------------------------
Exige beaucoup de toi-même et attends peu des autres. Ainsi beaucoup d'ennuis te seront épargnés. Confucius

Poste le Tuesday 21 June 2005 11:31:27

*Mule alors ? Ou tout autre système P2P ? Cela pourrait beaucoup décharger les serveurs si assez utilisé, àmha. M^eme dans le cas de fichiers mis à jour souvent, non ? Je veux dire, dans ce cas-là, (fichiers obsolètes/anciennes versions) ces fichiers seraient encore dispo un petit temps, mais seraient de toute façon amenés à dispara^itre... donc pas de problème à ce niveau. Et puis pour ce qui est de scruter les nouvelles sorties, il suffirait juste que les mainteneurs de serveurs mettent des liens (ainsi que les fichiers) dans la mule, et hop !

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Tuesday 21 June 2005 11:56:39

Citation
merlin8282
Et pourquoi pas utiliser Bittorrent (ou autre méthode P2P) pour faire des dépôts de packages ? Pourquoi apt-get ou autres n'utiliseraient-ils pas Bittorrent comme mode de téléchargement des packages ?

Au hasard : ton paquet peut avoir traîné sur une 30aine de disques durs appartenant à des gens plus ou moins gentils et plus ou moins bidouilleurs (genre de bonne âme "tiens je vais améliorer le paquet bidulle-1.5.2.deb" ). Résultat : impossible pour la distrib' de garantir ses paquets.

Poste le Tuesday 21 June 2005 13:09:22

Citation
Perramus
Au hasard : ton paquet peut avoir traîné sur une 30aine de disques durs appartenant à des gens plus ou moins gentils et plus ou moins bidouilleurs (genre de bonne âme "tiens je vais améliorer le paquet bidulle-1.5.2.deb" ). Résultat : impossible pour la distrib' de garantir ses paquets.

Pas d'accord avec cette explication : on peut aussi très bien "pervertir" une image iso.


--
Primo : rien de ce que j'écris ne saurait avoir a priori valeur de vérité universelle et incontournable.
Secundo : ce post est placé sous la DSSL (Demerden Sie Sich Licence).
Tertio : les barbus mangent du nioubie au p'tit-déj.
Quarto : z'avez vu, j'ai rajouté un tertio ?

Poste le Tuesday 21 June 2005 13:20:09

Citation
Perramus
Au hasard : ton paquet peut avoir traîné sur une
30aine de disques durs appartenant à des gens plus
ou moins gentils et plus ou moins bidouilleurs
(genre de bonne âme "tiens je vais améliorer le
paquet bidulle-1.5.2.deb" ). Résultat : impossible
pour la distrib' de garantir ses paquets.

Sauf si tu utilises les miroirs officiels pour vérifier le md5. Télécharger la signature d'OOo est légèrement moins pesant que le .deb au niveau du serveur.
A la limite, tu pourrais déployer un serveur de signatures en ftp et http, et un serveur p2p pour les packages.
Concernant le versionning, tu peux mettre à jour régulièrement en local la liste des paquets disponibles (scribe update, pacman -Sy, ....). Le téléchargement via le réseau p2p ne se fera que si le paquet trouvé est de la même version que celle que tu as en cache. Si il trouve une version plus récente, il pourrait même t'envoyer un petit message d'insulte pour te dire qu'il a trouvé une version plus récente, et que si tu veux suivre la branche ***, t'aurais intérêt à mettre à jour ton cache.

[v]Mis à part ça, avant que je ne fasse du p2p, il faudra d'abord que je le chroot. Vous êtes bienvenus chez moi, mais vous passerez tous par la case prison, que ce soit p2p, apache, ftp. [/v]

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Tuesday 21 June 2005 13:23:19

[sianka.free.fr]

il me smeblait l'avoir vu il y a quelque temps.

Poste le Tuesday 21 June 2005 13:27:12

Oui, ça je l'aurais pensé, les MD5 et tout. C'était justement partie intégrante de mon idée :-) : N'avoir plus qu'un serveur qui fournit les liste de packages et les MD5 pour pouvoir télécharger les packages par P2P.

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Tuesday 21 June 2005 13:35:05

Réponse à Oudoubah bien s^ur ;-)

.:! L'être humain est au sommet de la chaîne alimentaire. Certes. Mais il est surtout au sommet de la connerie et de la bêtise... !:.
-- Pour les nouveaux linuxiens : Ce n'est pas en continuant de faire ce que l'on connaît que l'on pourra faire ce que l'on ne connaît pas --

Poste le Tuesday 21 June 2005 13:45:19

Les MD5, ils sont sur des serveurs officiels, mais si je hacke un site de FAI pour distribuer des fausses signatures, en interceptant les vraies signatures, je peux ensuite bousiller des paquets. C'est pas pour rien que quand je paye sur internet, le site est en https:// qui est vraiment sécurisé.

Poste le Tuesday 21 June 2005 15:10:13

Ce problème existe déjà et quelque soit la distrib. Lorsque tu fais un urpmi, apt-get, pacman, cast, emerge, pkg-add ou autre, rien ne garanti que le site ne vient pas de se faire piraté, et que les signatures et les paquets n'ont pas changés.

Si tu veux vraiment être sécurisé de ce côté là, il faut au moins 3 serveurs pour distribuer les signatures, et des serveurs sur des réseaux (et localisés physiquement) différents, et récupérer les 3 signatures (en demandant d'en avoir au moins 2 valables)

La probabilité est relativement faible, et je pense qu'une telle chose serait rapidement découverte. L'idéal est donc de s'inscrire sur la liste officielle de diffusion des utilisateurs de ta distrib (si elle existe), et tu seras au courant de suite si une telle chose arrivait.

La couche ssl quand tu paies en ligne ne crypte que pour le transport. Si il y a intrusion sur le site, ssl n'y fera pas grand chose, par contre ça évitera le spoofing.

Et de toute manière, si tu es vraiment parano (avec accès à internet), tu récupèreras les sources et le md5 sur le site original, tu repasseras quelques jours plus tard pour vérifier que c'est le même md5, avant de le compiler (en utilisateur), de regarder le Makefile pour voir ce que fait le make install, et de l'installer.

Si tu es encore plus parano, on peut encore corser pas mal de choses :-))

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Tuesday 21 June 2005 15:28:55

je pense que le protocole ssh est assez simple et déjà très bien. Je n'ai pas parlé de piratage du serveur mais seulement d'interception de message.

Mais bon, en pratique j'installe des paquetages et des sources sans même me soucier de la sécurié.:-)) (parce que c'est très rare de se faire attaquer sur un ordi perso)

Poste le Tuesday 21 June 2005 16:09:41

Bah, dans le pire des cas, on se chope un rootkit. C'est pas trop grave ^^D-*

A part en entreprise, ou si mon système de packages le fait, je ne vais pas m'amuser à sombrer dans la parano :-))

Pour l'ordi perso, je ne sais pas. Pour ceux qui ont une IP fixe, ils peuvent servir facilement pour les pirates comme rebond (sans vouloir inviter un grand animal vert ;-), je dirais que ces mecs vont plutôt utiliser des windows non blindés que passer plus de temps sur des petits linux).

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Tuesday 21 June 2005 16:40:56

Citation
Arnaud
Pas d'accord avec cette explication : on peut aussi très bien "pervertir" une image iso.

Ok, mais le problème c'est pas que ce soit un paquet, c'est plutôt qu'il passe de main en main.

Citation
Oudoubah
Sauf si tu utilises les miroirs officiels pour vérifier le md5. Télécharger la signature d'OOo est légèrement moins pesant que le .deb au niveau du serveur.

Mouais... c'est lourd comme pratique... perso je préfère télécharger d'une source de confiance (comme vous le soulignez, le hack d'un serveur est rare et se remarquerait assez vite), que de m'enquiquiner à récupérer des clés de partout...

De plus, il me semble que le débit pour le download est moindre qu'avec un FTP...

Enfin, le P2P niveau firewall ça craint un peu puisque ça demande à chacun d'avoir un "serveur" sur sa machine, ce qui modifie pas mal les paramètres...

Bref quand on voit ce qu'on perd niveau sécurité... le gain de bande passante... bof !...

Poste le Tuesday 21 June 2005 17:15:23

Citation
Perramus
(comme vous le soulignez, le hack d'un serveur est
rare et se remarquerait assez vite), que de
m'enquiquiner à récupérer des clés de partout...

[v]Ben alors! On fait son timide? Tu peux me tutoyer ;-P[/v]

D'un point de vue purement technique, on peut trouver une solution fiable.

D'un point de vue utilisation, c'est sûr qu'il n'y a rien de mieux que le ftp ou ftps!

Tu as lu les docs. Tu es devenu un informaticien. Que tu le veuilles
ou non. Lire la doc, c'est le Premier et Unique Commandement de
l'informaticien.
-+- TP in: Guide du Linuxien pervers - "L'évangile selon St Thomas"

Poste le Tuesday 21 June 2005 20:57:19

à propos de BitTorrent...
[www.vnunet.fr]

Poste le Monday 4 July 2005 18:16:04