[Noticia]Raspberry Pi Foundation esta cambiando los repositorios

[Satoru@]

Resumen de la noticia:

Sin avisar algunos devs de Raspberry Pi Foundation se han dado cuenta de ultima hora que los repositorios se han cambiado a los servidores de microsoft.

En reddit se esta comentando que al cambiar a los repositorios linux,por los de microsoft deja de ser un sistema FOSS ya que segun ellos todos los datos que hagas incluso las aplicaciones que usas y cuanto tiempo usas tu raspberry van a parar a los servidores de microsoft.

Aqui el enlace por si lo quieren ver:

https://www.reddit.com/r/linux/comments ... erry_pis/

La unica forma evitar esto es instalar un debian vanilla raspberry :

https://raspi.debian.net/tested-images/

[egrueda]

Sin duda una noticia tan importante como grave.
Pensad no en el respositorio, sino en la firma gpg que se instala sin vuestro conocimiento Y sin vuestra aprobación.
Que un tercero instale en vuestras máquinas las claves públicas que les de la gana es gravísimo, y aterrador.

Y que lo instale en un script post-install es miserable, rastrero y muy peligroso.
Esa técnica es más propia de hacker que de proveedor de sistema operativo
https://github.com/RPi-Distro/raspberry ... s.postinst

Y si el proveedor de tu sistema operativo te engaña y te miente, ¿qué te queda?

Para empezar, vamos a borrar esa clave y ese repositorio
sudo rm /etc/apt/trusted.gpg.d/microsoft.gpg
sudo rm /etc/apt/sources.list.d/vscode.list

[Satoru@]

Sin duda una noticia tan importante como grave.
Pensad no en el respositorio, sino en la firma gpg que se instala sin vuestro conocimiento Y sin vuestra aprobación.
Que un tercero instale en vuestras máquinas las claves públicas que les de la gana es gravísimo, y aterrador.

Y que lo instale en un script post-install es miserable, rastrero y muy peligroso.
Esa técnica es más propia de hacker que de proveedor de sistema operativo
https://github.com/RPi-Distro/raspberry ... s.postinst

Y si el proveedor de tu sistema operativo te engaña y te miente, ¿qué te queda?

Para empezar, vamos a borrar esa clave y ese repositorio
sudo rm /etc/apt/trusted.gpg.d/microsoft.gpg
sudo rm /etc/apt/sources.list.d/vscode.list

Bien explicado, aunque en vez de usar Raspbian Os de página de Raspberry Pi Foundation puedes instalar debian vanilla para Raspberry o usar Opensuse que no tiene ni siquiera la firma gpg.

Que por cierto el cambio de repositorio no es por un hacker,fue validado por el mismo creador del sistema oficial de las raspberrys.

Mucha gente le ha pedido explicaciones en los foros oficiales de la raspberry del porque el cambio y lo unico que ha dado son evasivas&bloqueo de posts.

[egrueda]

Y la respuesta oficial es una huída hacia adelante

We won't be making any changes to this, it is to help users install VSCode which is our recommended IDE for Pico development.

¡tócate los huevos! ¡aquí vale todo!
Nos la meten doblada, no reconocen ell grave acto que han realizado y cuando les aprietan, aplican censura en el foro y dicen que eso se va a quedar así.
Ya sabemos lo que podemos esperar de la Raspberry Pi Foundation

[danpacu]

Ya sabemos lo que podemos esperar de la Raspberry Pi Foundation

Buenas noches. Yo sin ir mas lejos, leyendo el hilo comente la linea en vscode.list. Si me salen luego errores, ya veremos...
Pero de momento es un primer paso que recomendaban en el hilo.
A ver como sigue el tema..

[danpacu]

Ya sabemos lo que podemos esperar de la Raspberry Pi Foundation

Entonces puedo plantear dos preguntas:
- que solucion hay? Cambiar de OS/distro? O tano solo borrar dichos ficehros/carpetas (que ya los borre, tal como recomendabas antes).
- cual? haberlas hay, pero cual seria la idonea, dejando de lado el Raspbian OS?

[Satoru@]

Ya sabemos lo que podemos esperar de la Raspberry Pi Foundation

Entonces puedo plantear dos preguntas:
- que solucion hay? Cambiar de OS/distro? O tano solo borrar dichos ficehros/carpetas (que ya los borre, tal como recomendabas antes).
- cual? haberlas hay, pero cual seria la idonea, dejando de lado el Raspbian OS?

La unica solucion temporal es cambiar de distro y el que maneje Raspbian OS deje de ser tan cabezota&rectifique su propuesta de que nunca mas va hacer estas guarradas... alternativas existen:

https://en.opensuse.org/HCL:Raspberry_Pi3

Debian Vanilla Raspberry no contiene la firma gpg de microsoft:
https://raspi.debian.net/tested-images/

https://raspberryparatorpes.net/raspber ... perativos/

Si quieres instalar Raspbian OS lo mejor que instales un distro del 2019 o 2020 y no actualizarlo nunca,aparte mencionar hacer el sudo para eliminar las entradas de la firmas de microsoft que egrueda menciono.

[egrueda]

que instales un distro del 2019 o 2020 y no actualizarlo nunca,

Bueno, bueno, no nos volvamos locos.
Las actualizaciones son necesarias siempre, si queremos mantener el sistema seguro.
Recordemos la última vulnerabilidad de sudo (https://www.ccn-cert.cni.es/seguridad-a ... -sudo.html)
No podemos dejar un sistema inseguro y obosleto, eso no es una opción.

Yo en una de mis raspi, he creado el archivo microsoft.gpg y lo he "bloqueado" (atributo inmutable) para que permanezca vacío:

Código: Seleccionar todo

sudo touch /etc/apt/trusted.gpg.d/microsoft.gpg
sudo chattr +i /etc/apt/trusted.gpg.d/microsoft.gpg

Y lo msimo con el repositorio de microsoft:

Código: Seleccionar todo

sudo touch /etc/apt/sources.list.d/vscode.list
sudo chattr +i /etc/apt/sources.list.d/vscode.list

Y por supuesto, a quien no le suponga un problema, puede dejarlo ahí y seguir con su vida ;-)

[danpacu]

Yo en una de mis raspi, he creado el archivo microsoft.gpg y lo he "bloqueado" (atributo inmutable) para que permanezca vacío:

Código: Seleccionar todo

sudo touch /etc/apt/trusted.gpg.d/microsoft.gpg
sudo chattr +i /etc/apt/trusted.gpg.d/microsoft.gpg

Y lo msimo con el repositorio de microsoft:

Código: Seleccionar todo

sudo touch /etc/apt/sources.list.d/vscode.list
sudo chattr +i /etc/apt/sources.list.d/vscode.list

Anoche, en el hilo de reddit vi esta sugerencia, pero como no me atrevía a ponerla en prácica, me quedo como deberes para hoy... como lo acabo de ver lo probaré esta tarde.

Y por supuesto, a quien no le suponga un problema, puede dejarlo ahí y seguir con su vida ;-)

Hombre, en gran parte no es que me suponga un problema, pero molesta la idea de "permitir" a alguien, sin realmente permitirselo, instalar algo en mi raspi que luego pueda beneficiarle a ese alguien a costa de mis andaduras y tropiezos en la raspi. Si se puede "cortar"/solucionar ese problema mejor, digo yo.

[klingsor]

Pues ya he seguido los pasos indicados por @egrueda y he deshabilitado el repositorio de Microsoft.

En este hilo de Reddit se están comentando cosas muy interesantes y con más libertad que en el foro oficial.
https://old.reddit.com/r/linux/comments ... berry_pis/
Parece que no es cosa de la fundación Raspberry si no de los creadores de Raspbian:

Código: Seleccionar todo

Note: Raspbian is not affiliated with the Raspberry Pi Foundation. Raspbian was created by a small, dedicated team of developers that are fans of the Raspberry Pi hardware, the educational goals of the Raspberry Pi Foundation and, of course, the Debian Project.
The Raspberry Pi Foundation changed the name that they used after discussing with the co-founder of the Raspbian Project

Aunque por otro lado se puede ver esto:
https://www.raspberrypi.org/about/supporters/

Código: Seleccionar todo

£1 million and above
    Google
£500,000 – £999,999
    Microsoft
    Riot Games

Veamos como evoluciona el tema pero si la cosa se complica supongo que habrá que migrar a la distribución Debian para Raspberry como ya apuntuba @Satoru@ .
https://raspi.debian.net/

Saludos.

[Satoru@]

@egrueda Cierto se me habia olvidado lo de la vulnerabilidad sudo,pues mejor no instaleis un Raspbian antiguo.

Eso sip viendo los acontemicientos van hacer un fork de raspbian. Espero que cuando hagan el fork hagan una version superlite con xfce.

@klingsor Creo entender y espero no equivocarme con mi ingles que la distribución oficial para todas las raspberrys es en esta página y es en la cual mantiene todavia la firma gpg de microsoft:

https://www.raspberrypi.org/software/

Eso sip es entendible que la fundación raspberry solo se encargue del hardware,ya que en cuestión del software ellos no manejan ese negocio.

La privacidad me da igual ya que estamos en un mundo conectado digitalmente.Lo que no estoy de acuerdo es que me instale por defecto bloatware que no necesito,que no pedi que me lo instalaran y que es posible que ese bloatware tenga un ataque de vector ,keylogger o spyware. Cualquier programa que interfiera en el rendimiento optimo de mi raspberrry o laptop lo elimino sin rechistar.

[egrueda]

En realidad no es nada relacionado con bloatware.
En realidad esto es para vender muchas Raspberry Pi Pico (https://www.raspberrypi.org/products/raspberry-pi-pico/)
Y para que la gente use la Pico, necesitan que funcone con VS Code.
Y para que Vscode funcione con la raspi, necesita un software de algunos repositorios.
Y para hacerlo todo fácil y bonito, te meto un repositorio y te instalo una GPG como quien hackea un servidor, y ni te informo de ello ni te pregunto si es lo que quieres. Y a partir de aquí, pierdes el control de qué has instalado en tu raspi y de dónde te lo has instalado.

Así ,para vender las puñetersas pico, traicionan la confianza de todos sus clientes y abren una peligrosa puerta a hacer lo que ellos quieran con sus clientes, con sus raspberries y con sus sistemas operativos, a inttroducir cualquier cambio,, cualquier software, absolutamente lo que les de la gana, sin avisar y sin dar explicaciones, o como mucho insistiendo como hacen en que todo lo qeu han hecho es correcto.

Eben Upton quiere llegar a más clientes aunque sea pisando las cabezas de sus clientes.
Esta estrategia es un disparo en el pie de manual.
Y lo que están haciendo en el foro oficial, bloqueando temas y no dejando discutir a la gente es de vergüenza ajena, no tiene cabida en el siglo XXI.

Bueno, pues aun así hay gente con sindrome de estocolmo que defiende la manipulación oculta de nuestros ordenadores y la censura en los foros.
Y en ese mundo vivimos, donde pagas 35€ a una empresa y esa empresa tiene el derecho de meterte el brazo por el cu... y exigirte que estés satisfecho o tratar de callarte si te quejas.

Grave, de verdad, muy grave

[cpcbegin]

Pues yo también he puesto mi descontento en los foros oficiales si me quieren banear por eso, adelante.
No me parece un movimiento inteligente porque pone en entredicho la honestidad de su proyecto y hay opciones.

También he informado en todos los foros de raspberry que he podido, hay que forzarles a rectificar.

[cpcbegin]

He puesto la solución en mi blog, con una alternativa para que no nos la vuelvan a colar: actualizar con un script que al final borre los archivos si es que existen.

La jugarreta explicada en una imagen.

[klingsor]

En mi caso tengo creados una serie de alias para hacer tareas que hago a menudo y entre ellas está la función de actualizar.

Estos son mis alias:

Código: Seleccionar todo

alias actualizar='sudo apt update && sudo apt -y upgrade'
alias reiniciar='sudo shutdown -r 0 && exit'
alias apagar='sudo shutdown -h 0 && exit'
alias vnc='vncserver :1'
alias jacket='sudo ./updateJackett.sh'
alias monitor='sudo systemctl restart rpimonitor'

También es posible añadir las líneas de tu script directamente quedando algo así:

Código: Seleccionar todo

alias actualizar='sudo apt update && sudo apt -y upgrade && sudo apt-get -y autoremove && sudo apt-get -y clean && sudo rm -f /etc/apt/trusted.gpg.d/microsoft.gpg && sudo rm -f /etc/apt/sources.list.d/vscode.list'

Con eso quedaría una posible solución, o si no quieres que compruebe y elimine cada vez que actualizas puedes crear un alias que te haga la parte final:

Código: Seleccionar todo

alias mocosoft ='sudo rm -f /etc/apt/trusted.gpg.d/microsoft.gpg && sudo rm -f /etc/apt/sources.list.d/vscode.list'

Por si alguien quiera añadir estos alias o crear algún otro:

Código: Seleccionar todo

sudo nano .bashrc

Y debajo de esta línea: # See /usr/share/doc/bash-doc/examples in the bash-doc package añadimos los alias que queramos.
La orden para ejecutar el alias es el nombre que pones al lado de alias reiniciar, apagar, mocosoft el nombre que se te ocurra desde la terminal.

Saludos.

[cpcbegin]

Al final se consigue lo mismo con alias que con un bash en /usr/local/bin pero algo que me inquieta más es que no sea este el último caso, se ha abierto la puerta para que Raspberry pi OS añada más repositorios firmados de alguno de sus poderosos benefactores sin consentimiento de sus usuarios.

La confianza en este sistema se ha esfumado.