rozie@dukgo.com

Ostatnio w oko wpadł mi - arcyciekawy moim zdaniem - projekt, który ma na celu umożliwienie użytkownikom dystrybucji opartych o pakiety deb (na razie tylko Debian, wygląda na to, że przystosowanie do innych dystrybucji nie jest trudne) aktualizowanie systemu w nietypowy sposób, a mianowicie przez P2P. Nie chodzi o pobieranie płyt instalacyjnych, ale o zwykłą, codzienną aktualizację pakietów na komputerze.

Projekt o którym mowa to apt-p2p. Na razie jest we wczesnej fazie rozwoju, ale jeśli wszystko pójdzie dobrze (a założenia są ciekawe), to będzie z tego bardzo ciekawy programik (zachęcam autora m.in. do dodania opcji pozwalającej na określenie minimalnego rozmiaru pakietu, który chcemy obsługiwać przez P2P - jednak tablica z danymi o plikach trochę w pamięci zajmuje...). W tej chwili działa pobieranie pakietów przez P2P, jest zrobiona integracja z istniejącymi narzędziami. W razie niepowodzenia pobierania przez P2P nie ma dramatu, gdyż pakiet pobierany jest tradycyjnie - przez HTTP.

Dodatkowo, na planecie Debiana widziałem ciekawe propozycje połączenia tego z nie wymagającym konfiguracji aptem, co może pozwolić na stworzenie ciekawego systemu zarządzania pakietami, w którym konfiguracja ograniczy się do podania wersji systemu, z którego chcemy korzystać i ew. wersji pakietów (np. sekcja non-free). Bardzo ciekawa sprawa dla np. Ubuntu.

Oczywiście samo pobieranie pakietów przez P2P jest kontrowersyjne z punktu widzenia bezpieczeństwa systemu. O ile o podmianę zawartości byłbym spokojny (liczenie sum kontrolnych pobieranych fragmentów, liczenie sumy kontrolnej całego pakietu po pobraniu i ostateczne sprawdzanie podpisu GPG przy instalacji przez apt), to ewentualne błędy w samym kliencie/protokole mogą powodować wyciek danych z systemu (udostępniane są wszystkie pliki ze wskazanej lokalizacji, nie tylko pakiety deb, więc jak jakiś user udostępni /, to może się zdziwić) czy podatność na (D)DoS (możliwość zmuszenia systemu do stosunkowo dużej liczby obliczeń).

A jaki sens tego wszystkiego? Mniejsze zapotrzebowanie na łącze na mirrorach. Większa niezawodność pobierania pakietów dla użytkownika końcowego (pad lub błędy na używanym mirrorze nie stanowią problemu). Potencjalnie szybsze pobieranie pakietów (zwł. z security), chociaż tutaj dochodzi obliczanie sum kontrolnych itp., więc tak naprawdę wyjdzie w tzw. praniu. Jeśli dodatkowo uda się zrobić apt-zeroconf, to powstać może zupełnie nowe podejście do aktualizacji systemu. Plus, projekty w stylu popularity contest będą mogły być realizowane w znacznie prostszy i bardziej miarodajny sposób.

Na koniec dodam, że pakietem zachwycam się na razie czysto teoretycznie. Jest on co prawda w repozytorium Debiana w sekcji unstable, ale aby mógł go uruchomić, konieczny jest zrobienie backportu do stable, a zależności są dość skomplikowane, a czasu nie mam zbyt wiele. Niemniej praca nad tym jest w toku, jak zrobię backport, to wystawię paczki. Tymczasem zachęcam do poczytania o projekcie, a posiadaczy Debiana w wersji unstable - do testów.