# GARR, mirror italiani: annuncio e domanda

## pingoo

Il 2 gennaio avevo inviato un'email a quelli del GARR perché la cartella gentoo era obsoleta chiedendo loro se fosse possibile attivare un rsync myrror, cosa che hanno fatto/ripristinato il giorno stesso  :Shocked: 

In particolare mi ha risposto Enrico Cavalli che ha poi provveduto, come da documentazione, ad aprire un apposito bug sul bugzilla di gentoo per segnalare la cosa ma "... pare che le richieste di nuovi mirror non vengano prese  in considerazione." (tra l'altro ago se n'è accorto immediatamente  :Very Happy:  )

La domanda è: qualcuno (ago?) sa/ha capito/può indagare cosa occorra fare per far entrare il GARR nella lista dei mirror ufficiali e magari segnalarlo nel bug?

----------

## djinnZ

a dire il vero non ho mai capito perché lo abbiano rimosso, una volta c'era.

La prima volta che ho scaricato gentoo lo ho fatto da lì, me lo ricordo l'inizio dei miei guai.

----------

## ago

 *pingoo wrote:*   

> Il 2 gennaio avevo inviato un'email a quelli del GARR perché la cartella gentoo era obsoleta chiedendo loro se fosse possibile attivare un rsync myrror, cosa che hanno fatto/ripristinato il giorno stesso 
> 
> In particolare mi ha risposto Enrico Cavalli che ha poi provveduto, come da documentazione, ad aprire un apposito bug sul bugzilla di gentoo per segnalare la cosa ma "... pare che le richieste di nuovi mirror non vengano prese  in considerazione." (tra l'altro ago se n'è accorto immediatamente  )
> 
> La domanda è: qualcuno (ago?) sa/ha capito/può indagare cosa occorra fare per far entrare il GARR nella lista dei mirror ufficiali e magari segnalarlo nel bug?

 

Il bug è assegnato in modo esatto. Dovremmo attendere.

----------

## djinnZ

Se mi accodo e chiedo perché piuttosto lo hanno rimosso, dici che mi mandano a ... ?!  :Twisted Evil: 

Sicuramente i mirror tiscali (sia de che it), unina e non ricordo se unibo o padova  sono stati segati in quel periodo  in cui comparivano direttive regionali e ministeriali, di matrice verde o leghista in genere, sull'open source ma per quel che so il mirror garr non è mai stato segato.

Sarebbe interessante capirlo IMHO.

----------

## pingoo

Non ricordo se avevo cominciato anch'io ma sono quasi sicuro di averlo usato per un certo periodo anni fa, da quanto scritto nel bug mi pare di intuire che sincronizzassero con un qualche mirror "caduto in disgrazia".

Non ho capito quanto è insicuro usarlo già da ora, non che non mi fidi di quelli del GARR, diciamo che è più una cosa sul piano teorico. Ovvero, quali controlli di integrità vengono fatti sui mirror e portage che controlli esegue in merito? Sapete se c'è un qualche meccanismo che impedisce ad esempio che qualche mirror possa contraffare un ebuild/pacchetto?

----------

## djinnZ

In realtà nessuno. L'unica protezione è contro l'alterazione del contenuto del pacchetto sorgente ma se il portage viene alterato in toto non mi pare che ci sia modo di verificare.

Per questo si parlava di passare dall'md5 dell'ebuild e del tar.bz2 alla firma digitale a suo tempo.

Poi non so perché il progetto si è arenato, forse i problemi nel gestire gli overlay web e locali (ognuno dovrebbe avere la sua firma).

Se non mi sbaglio cinque o sei anni fa ci fu un problema del genere ma non ricordo se era ai danni di gentoo o di un'altra distribuzione.

----------

## pingoo

Ok, grazie. Non saprei come ma speravo ci fosse un qualche controllo incrociato almeno per portage che credo sia l'essenziale, non solo perché ci potrebbe sempre essere un malintenzionato all'interno ma anche perché ovviamente qualche esterno potrebbe manomettere un mirror. Certo la stessa cosa vale anche per i mirror "principali" però altri magari son più fragili (e dopo il tuo post mi sento più fragile anch'io ...)

----------

