Лучшая практика подписания пакетов Debian
В моей среде пакеты создаются с помощью команды debuild -b и загружаются в репозиторий debian с помощью dput. Шаг debuild говорит мне, что пакет был подписан, так что должно быть круто. У меня есть ключи, сгенерированные с помощью gpg, он запрашивает парольную фразу, здесь нет проблем.
В репозитории debian есть мини-dinstall, работающая как демон.
Теперь, когда я устанавливаю новый пакет с сервера репозитория и получаю предупреждение "подпись не может быть проверена". Где пропущенные / неправильные шаги и как лучше подписывать пакеты deb?
1 ответ
Что касается пакетов и архивов Debian, существует два типа подписи. Первый фактический .deb файлы (и .orig.tar.gz, .changes а также .dsc), а второй - это сгенерированные архивные метаданные (Release файл конкретно). Подписание, которое происходит как часть debuild является первым, и эта подпись используется только для проверки того, что вам разрешено добавлять пакеты в архив (то есть проверяется reprepro или же mini-dinstall как часть обработки входящего пакета). Последний тип подписи должен быть сделан администратором архива (reprepro, mini-dinstallили иногда вручную), и эта подпись проверяется aptitude а также apt-get при загрузке и установке пакетов.
Похоже, вы не настроили подпись сгенерированных архивных метаданных. Вы можете сделать это, создав и настроив mini-dinstall с помощью release_signscript или вручную подписав Release файл и поставить подпись в Release.gpg каждый раз, когда архив меняется. Тогда вам, очевидно, необходимо добавить ключ на машины, устанавливающие пакеты с помощью apt-key,