Вопрос как вы создаете «подписанный» пакет deb


Я хочу создать несколько пакетов deb, но я не знаю, как работает «подписание» пакетов. Поэтому мне было интересно, как создать подписанный пакет deb.


10
2017-09-23 13:14


происхождения


возможный дубликат создать пакет .deb из сценариев или двоичных файлов - Sampo Sarrala
@SampoSarrala Это не дубликат. - Pilot6


ответы:


Подписание пакета в системах Ubuntu / Debian довольно беспорядочно. Теоретически, подписание пакета deb позволяет человеку, получающему ваш пакет, проверить, что пакет не был изменен после его подписания. В действительности проверка подписи очень сложна для настройки и по умолчанию отключена. Если пользователь не выполняет локальную настройку, они не будут проверять подпись при установке пакета.

Чтобы подписать пакет, вы можете использовать: debsigs или dpkg-sig. Подписи несовместимы друг с другом, поэтому вам нужно убедиться, что пользователь использует правильный инструмент на стороне приема для проверки подписей.

dpkg-sig проще использовать как для вас, так и для пользователя, но debsigs - это инструмент со встроенной поддержкой (которая по умолчанию отключена) на Ubuntu и Debian.

Я написал сообщение в блоге, содержащее все технические детали подписания и проверки исходных пакетов (.dsc-файлов), бинарных пакетов (.deb) и самих репозиториев пакетов APT: http://blog.packagecloud.io/eng/2014/10/28/howto-gpg-sign-verify-deb-packages-apt-repositories/


4
2017-09-23 21:07



Похоже, что бинарные пакеты .deb могут быть (и в той же степени, что и для официальной цепочки упаковки для Debian / Ubuntu), включенной в файлы .changes. Опущено в этом ответе и связанном сообщении в блоге. - arand


Подписание пакета на Debian / Ubuntu обычно выполняется через файлы .changes. При создании пакета вы, как правило, получаете файл .changes, перечисляя результаты сборки (исходные и / или двоичные пакеты) и их контрольные суммы, когда вы подписываете пакеты, это обычно файл, который вы подписываете (таким образом, целостность пакета посредством его контрольной суммы).

Самый простой способ подписать файл .changes - использовать debsign

debsign hello_1.0_amd64.changes

Это происходит автоматически, если у вас есть первичный ключ в gnupg keychain, и вы запускаете dpkg-buildpackage или debuild без -us а также -uc переключатели.


1
2017-10-12 13:49