APT Secure

Инсталирах си apt от experimental, който поддържа инсталиране само на подписани пакети. Оказа се лесно, обаче не можах да намери ясни и пълни инструкции, така че сега ще запълня този пропуск, поне на български език:

  1. В /etc/apt/sources.list се добавя следния ред:
    deb http://ftp.uni-sofia.bg/debian ../project/experimental main contrib non-free
  2. # apt-get -t experimental install apt
  3. # wget http://ftp-master.debian.org/ziyi_key_2005.asc (+проверка на ключа?)
  4. # apt-key add ziyi_key_2005.asc
  5. # apt-get update

Сега вече трябва изрично да потвърждавате инсталирането на пакети от всеки източник, който не подписва файла Release. Отговорът по подразбиране е да не се инсталират, така че не се минава вече с просто натискане на Enter.
Други документи:

Жалко, че Sarge няма да използва тези възможности. Не знам защо, но интересът в Debian към подписването на дистрибуцията е малък :-(

Tags: 

Comments

(без заглавие)

и в двата случая с apt-secure и dpkg-sig chain-of-trust за завършено понятие. В първя случай всичко опира до подписа върху Release файла, от него почват сумите на Packages, Sources и т.н. в които пък са сумите на deb пакетите, което и от последните да се пипне се хваща от apt-secure.
При подписване и валидиране с dpkg-sig подписите са вътре в самите deb файл, тогава и просто инсталирането с dpkg -i (без apt) се хваща, ако на dpkg му е казано да чеква сигнатурата. Вътре в deb има members които са байнъри файлове и върху тях има детачнати сигнатури, то няма как иначе, а върху текстовите md5sums, sha1sums са атачнати. От тези подписани файлове със суми вече debsums може да валидира файл по файл пакета както е инсталиран.

(без заглавие)

.. и всичко това е един пач към системата за пакети без никаква интеграция. С една дума "detached signature" модел:) Незадължаващ никого с нищо.

(без заглавие)

Разликата между secure apt и dpkg-sig я бях разбрал.

Че само чакат Sarge, за да почна повсевместно подписване, е много добра новина за мен :-)

Само не можах да разбера дали някоя от тези технологии в Debian позволява да провериш всеки файл на вече инсталиран пакет, т.е. доколко е мислено за такава употреба.

(без заглавие)

Тези двете (apt-secure и dpkg-sig) са за различни цели - http://dpkg-sig.turmzimmer.net/faq.html

apt-cache show dpkg-sig
create and verify signatures on .deb-files
dpkg-sig is a low-level tool for creation and verification of
signature on Debian binary packages (.deb-files).

http://dpkg-sig.turmzimmer.net/

сигнатурите могат да се вкарват отдавна в пакета, чакат излизането на Sarge, за да подписват масово и по този начин.

(без заглавие)

ААААААААААА! apt-key ли било, и аз се чудех как да направя номера с gpg... Благодаря, че ме светна :)

Иначе аз ползвам тоя apt от доста време, и съм много доволен... Колкото до интеграцията, може би Гунински е прав, че трябва да вкарат сигнатурите направо в пакета.