Live-build et httpredir : https sans le demander

Salut,

Surprise du jour : impossible d’installer un paquet depuis une debian personnalisée grâce à live-build sans avoir à faire un apt update.

live-build a produit une iso fonctionnelle avec un sources.list utilisant le serveur httpredir.debian.org.

Habituellement, on peut installer un paquet depuis le système live avec apt install sans avoir à faire un apt update auparavant.

Au premier test, tout se passe bien. Un redémarrage.

Deuxième test : apt râle qu’il lui manque apt-transport-https pour pouvoir installer.

Or le sources.list n’utilise pas https mais bien http.

Conclusion : la redirection a basculé vers un serveur qui ne propose peut-être que https.

Une solution : refaire l’iso en ajoutant le paquet apt-transport-https pour éviter les surprises.

De toute façon, ça deviendra sans doute la norme.

Je ne vois pas comment c’est possible (sauf si le système l’a fait automatiquement lors du démarrage). Pour cela il faudrait embarquer dans l’image live le résultat d’un apt(-get) update au moment de sa construction, mais la liste des paquets disponibles pourrait devenir obsolète entre la création de l’image et son utilisation à cause des mises à jour des paquets. apt télécharge un paquet dans la version exacte qu’il a dans sa liste, ce qui échoue si cette version n’est plus disponible sur le miroir.

C’est exactement ce que fait live-build et effectivement le risque est l’indisponibilité d’un paquet mais le gain se situe en RAM, espace contraint quand on utilise un système live…

Pas seulement : le risque est aussi de télécharger une version d’un paquet affectée par une faille de sécurité connue alors qu’une mise à jour de sécurité est disponible. Tu me diras, ce risque existe aussi pour tous les logiciels inclus dans l’image.

Une utilisation possible : créer le système live dans un lieu de confiance pour l’utiliser le même jour dans un autre lieu, de moindre confiance.

Le système live peut être maintenu à jour avant chaque utilisation.

EDIT

Attention : live-wrapper n’est pas live-build !

Par défaut (sans aucune configuration) live-wrapper ne met effectivement pas le dépôt security dans l’image.
Ainsi, dans une image construite avec live-wrapper apt install firefox-esr installe la branche ESR précédente 45.9

Il se trouve que open-infrastructure-system-build (live-build, canal historique, suite à l’embrouille avec live-wrapper) utilise https par défaut et fournit donc apt-transport-https par défaut également.