Назад | Перейти на главную страницу

Лучшая практика подписания пакетов debian

В моей среде пакеты создаются запуском debuild -b и загружаются в репозиторий debian с помощью dput. Этап отладки сообщает мне, что пакет подписан, так что это должно быть круто. У меня есть ключи, сгенерированные с помощью gpg, он запрашивает кодовую фразу, я думаю, здесь нет проблем.

В репозитории debian есть mini-dinstall, работающий как демон.

Теперь, когда я устанавливаю новый пакет с сервера репозитория, я получаю предупреждение «Не удалось проверить подпись». Где пропущенные / неправильные шаги и как лучше всего подписывать пакеты deb?

Что касается пакетов и архивов Debian, существует два типа подписи. Первый - это актуальный .deb файлы (и .orig.tar.gz, .changes и .dsc), а второй - сгенерированные метаданные архива ( Release файл). Подписание, которое происходит в рамках debuild является первым, и эта подпись используется только для проверки того, что вам разрешено добавлять пакеты в архив (т.е. она проверяется reprepro или mini-dinstall в рамках обработки входящего пакета). Последний тип подписи должен выполняться менеджером архива (reprepro, mini-dinstall, а иногда и вручную), и это подпись, которая проверяется aptitude и apt-get при загрузке и установке пакетов.

Похоже, вы не настроили подписание сгенерированных метаданных архива. Вы можете сделать это, создав и настроив mini-dinstall с release_signscript, или вручную подписав Release файл и поставив подпись в Release.gpg каждый раз при смене архива. Затем вам, очевидно, нужно добавить ключ на машинах, устанавливающих пакеты, используя apt-key.