文档章节

制作已签名的Debian仓库

anglix
 anglix
发布于 2015/11/19 13:56
字数 819
阅读 542
收藏 3

普通仓库

  • 以 Debian 8 / Jessie 为例,使用官方的ISO里的软件包制作apt仓库
apt-get -y install nginx reprepro dpkg-sig
mkdir -pv /data/file /mnt/d{1,2,3} /data/mirror/debian/conf

下载DVD镜像

wget -P /data/file http://mirrors.yun-idc.com/debian-cd/current/amd64/iso-dvd/debian-8.2.0-amd64-DVD-{1,2,3}.iso

挂载到本地

mount -t iso9660 -o ro,loop /data/file/debian-8.2.0-amd64-DVD-1.iso /mnt/d1
mount -t iso9660 -o ro,loop /data/file/debian-8.2.0-amd64-DVD-2.iso /mnt/d2
mount -t iso9660 -o ro,loop /data/file/debian-8.2.0-amd64-DVD-3.iso /mnt/d3

创建仓库

  • reprepro 根据 distributions 生成仓库:
head -9 /mnt/d1/dists/jessie/Release | sed '/Date:/d' - > /data/mirror/debian/conf/distributions
reprepro -Vb /data/mirror/debian includedeb jessie $(find /mnt/d{1,2,3}/pool/ -type f -name "*.deb")

提供HTTP服务

  • 安装Nginx并修改配置指向仓库根目录,/etc/nginx/nginx.conf 片段配置:
server {
        listen       80 backlog=8192; # backlog代表此端口允许同时打开(tcp_syn)的最大值
        server_name  mirrors.biliops.com;
        charset utf-8;
        location / { 
                root /data/mirror;
                autoindex on;
                autoindex_exact_size off;
                autoindex_localtime on;
                access_log  /data/log/nginx/access.log; #访问过程不记日志
        }
        location ~ ^(.*)\/\.(svn|git|hg|bzr|cvs)\/ { # 屏蔽这些目录
                deny all;
                access_log off;
                log_not_found off;
        }
        location ~ /\. { # 屏蔽.开头的目录或文件,比如  .htaccess .bash_history
                deny all;
                access_log off;
                log_not_found off;
        }
}

测试使用

  • 修改 /etc/apt/sources.list 指向 mirrors.biliops.com
deb http://mirrors.biliops.com/debian jessie main contrib
  • 更新本地源数据
apt-get update

仓库签名

制作签名

  • 生成自定义密钥:
gpg --gen-key
# Real name: mirror-key
# gpg: directory `~/.gnupg' created
# gpg: new configuration file `~/.gnupg/gpg.conf' created
# gpg: WARNING: options in `~/.gnupg/gpg.conf' are not yet active during this run
# gpg: keyring `~/.gnupg/secring.gpg' created
# gpg: keyring `~/.gnupg/pubring.gpg' created
# Not enough random bytes available.
rngd -r /dev/urandom -o /dev/random -f -t 1
  • 查看密钥:
gpg --list-keys 
gpg --list-secret-keys 
apt-key list
  • 备份和恢复:
gpg -o ~/gpg-pub.key -a --export mirror-key # 导出公钥
gpg -o ~/gpg-sec.key -a --export-secret-keys mirror-key # 导出私钥
gpg --import ~/gpg-sec.key ~/gpg-pub.key # 恢复公、私钥

给仓库签名

  • 实际上就在配置里加上 SignWith: mirror-key,然后重新生成源数据即可:
head -9 /mnt/d1/dists/jessie/Release | sed 's/^Date:.*/SignWith: mirror-key/g' - > /data/mirror/debian/conf/distributions
# rm -rfv /data/mirror/debian/{db,dists,lists} # 可删除
reprepro -Vb /data/mirror/debian export jessie 

测试仓库的签名

  • 客户端需要导入公钥,否则无法使用 apt-get update

无法验证签名

  • 导入公钥即可正常使用,apt-key add
wget -q -O - mirrors.biliops.com/gpg-pub.key | sudo apt-key add -

导入密钥

  • 至此,我们的仓库需要有签名才能使用啦!

打包签名

  • 如果仓库不需要签名,可以只对指定的软件包签名。需要 dpkg-sig 打,示例:
dpkg-sig -k mirror-key --sign higkoo $(find /data/mirror/debian/pool -type f -name "*.deb")

手动打签名

  • 爱折腾的话,手动打签名脚本可参考:
#!/bin/bash
if [ "$1" == "checksum_md5" ]; then
	printf ' '$(md5sum $2 | cut --delimiter=' ' --fields=1)' %16d '$2'\n' $(wc --bytes $2 | cut --delimiter=' ' --fields=1)
	exit 0
elif [ "$1" == "checksum_sha1" ]; then
	printf ' '$(sha1sum $2 | cut --delimiter=' ' --fields=1)' %16d '$2'\n' $(wc --bytes $2 | cut --delimiter=' ' --fields=1)
	exit 0
elif [ "$1" == "checksum_sha256" ]; then
	printf ' '$(sha256sum $2 | cut --delimiter=' ' --fields=1)' %16d '$2'\n' $(wc --bytes $2 | cut --delimiter=' ' --fields=1)
	exit 0
fi
BASEDIR=/data/mirror/debian
HEADER=${BASEDIR}/conf/main-info
OS_CODENAME=jessie
SELF_SCRIPT="`pwd`/$0"
cd ${BASEDIR}
dpkg-scanpackages pool/${OS_CODENAME} 2>/tmp/deb.log | tee dists/${OS_CODENAME}/main/binary-amd64/Packages | gzip -9c > dists/${OS_CODENAME}/main/binary-amd64/Packages.gz
cat dists/${OS_CODENAME}/main/binary-amd64/Packages | bzip2 -9c > dists/${OS_CODENAME}/main/binary-amd64/Packages.bz2
cd ${BASEDIR}/dists/${OS_CODENAME}
/bin/cp -fv ${HEADER} ${BASEDIR}/dists/${OS_CODENAME}/binary-amd64/Release
/bin/cp -fv ${HEADER} Release
echo "MD5Sum:" >> Release
find main/ -type f | xargs -n 1 $SELF_SCRIPT checksum_md5 >> Release
echo "SHA1:" >> Release
find main/ -type f | xargs -n 1 $SELF_SCRIPT checksum_sha1 >> Release
echo "SHA256:" >> Release
find main/ -type f | xargs -n 1 $SELF_SCRIPT checksum_sha256 >> Release
rm Release.gpg InRelease
gpg --clearsign -o InRelease Release
gpg -abs -o Release.gpg Release

© 著作权归作者所有

共有 人打赏支持
anglix

anglix

粉丝 31
博文 35
码字总数 17615
作品 0
珠海
系统管理员
私信 提问
Docker搭建私有registry

----------------------------------------- 一、版本说明 二、Server配置(registry 仓库) 制作签名 安装registry 制作tag 上传测试 复制证书到Client 三、Client配置 添加hosts记录 下载测...

_诺千金
2017/10/13
0
0
邮件服务解决方案 iRedMail-0.5.0-beta1 发布

开源邮件服务解决方案 iRedMail-0.5.0-beta1 发布了,支持 Debian 系统。现在支持的操作系统有:RHEL, CentOS, Debian。还将移植到 Ubuntu 系统。这个版本主要是加入了对 Debian (Lenny, 5.0...

红薯
2009/05/05
206
0
Debian for armel 进展情况

目前制作的debian文件系统存在驱动问题,主要表现在触摸屏无法触控,鼠标,键盘无法使用,但是驱动设备节点的数据都可以正常输出,原因待查,解决起来可能会比较慢;其他硬件接口未使用,所以...

tsuibin
2015/12/16
57
0
【译】Metasploit:搭建开发环境

原文地址:https://github.com/rapid7/metasploit-framework/wiki/Setting-Up-a-Metasploit-Development-Environment 作者:Metasploit Community 译者:王一航 & Google 2018-06-15 校对:王......

王一航
2018/06/15
0
0
CloudStack升级中文指南:4.1.x/4.2.x 至4.3版本

CloudStack升级中文指南: 4.1.x/4.2.x 至 4.3版本 本文翻译于官方文档,当考虑到众多朋友方便查阅,特翻译成中文供大家参考。 原文连接:http://docs.cloudstack.apache.org/projects/clou...

tangwenjun
2014/03/27
0
0

没有更多内容

加载失败,请刷新页面

加载更多

OSChina 周二乱弹 —— 以后我偷小鱼干养你

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @庞巴哥 :只有这节奏瞬间变得轻松。。。。。。。。。分享Talking Eyes的单曲《In the sun (Extended Version)》: 《In the sun (Extended Ve...

小小编辑
49分钟前
1
0
多表查询

第1章 多表关系实战 1.1 实战1:省和市  方案1:多张表,一对多  方案2:一张表,自关联一对多 1.2 实战2:用户和角色 (比如演员和扮演人物)  多对多关系 1.3 实战3:角色和权限 (比如...

stars永恒
今天
7
0
求推广,德邦快递坑人!!!!

完全没想好怎么来吐槽自己这次苦逼的德邦物流过程了,只好来记一个流水账。 从寄快递开始: 2019年1月15日从 德邦物流 微信小app上下单,截图如下: 可笑的是什么,我预约的是17号上门收件,...

o0无忧亦无怖
昨天
10
0
Mac Vim配置

1.升级 vim   我自己 MacBook Pro 的系统还是 10.11 ,其自带的 vim 版本为 7.3 ,我们将其升至最新版: 使用 homebrew : brew install vim --with-lua --with-override-system-vim 这将下...

Pasenger
昨天
9
0
vmware安装Ubuntu上不了网?上网了安装不了net-tools,无法执行ifconfig?

1.重新设置网络适配器还是不行,如下指定nat 2.还需要指定共享网络,我是在无线环境下 3.无法执行ifconfig https://packages.ubuntu.com/bionic/net-tools到这个网站下载net-tools的deb文件...

noob_chr
昨天
7
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部