DEB-Pakete neu signieren

Vom einfachen Programm zum fertigen Debian-Paket, Fragen rund um Programmiersprachen, Scripting und Lizenzierung.
Antworten
Benutzeravatar
einzeller
Beiträge: 35
Registriert: 14.01.2008 13:57:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

DEB-Pakete neu signieren

Beitrag von einzeller » 19.05.2009 09:40:04

Einen guten Morgen an alle,

ich möchte bestimmte Debian-Pakete aus dem Debian-Repository laden und ihnen eine neue Signatur verpassen.
Ziel soll es sein, diese Pakete später über ein eigenes Repository auf andere Rechner zu verteilen. Diese Rechner sollen nur die von mir signierten Pakete installieren dürfen.

Zur Verfügung steht mir nur das Debian-Paket, dass ich signieren möchte. Die Keys habe ich nicht und nach Möglichkeit möchte ich die Pakete auch nicht aufffrickeln und neu bauen.

Im Internet habe ich dazu bisher noch keine Lösung gefunden. Deshalb meine Frage bzgl. dem Signieren: Ist das möglich, bzw. wie würde man das machen?

Beste Grüße,
einzeller
Nach oben
uname
Beiträge: 12460
Registriert: 03.06.2008 09:33:02

Re: DEB-Pakete neu signieren

Beitrag von uname » 19.05.2009 15:52:51

Ziel soll es sein, diese Pakete später über ein eigenes Repository auf andere Rechner zu verteilen
Du wirst wohl das Repository incl. GPG-Key erst anlegen müssen. Den GPG-Key kannst du dann bei deinen Clients mit "apt-key" importieren. Die Frage ist nun nur noch, wie man ein Debian-Repository aufbaut, den GPG-Key erzeugt und wie das ganze mit den MD5-Checksummen zusammenhängt. Leider habe ich auch keine Ahnung davon, würde es aber gerne besser verstehen.

Suche in diese Richtung, der Rest ergibt sich dann wahrscheinlich von selbst.
Nach oben
Benutzeravatar
einzeller
Beiträge: 35
Registriert: 14.01.2008 13:57:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Re: DEB-Pakete neu signieren

Beitrag von einzeller » 19.05.2009 16:00:00

Hmm, danke für deine Antwort. Werde im Verlauf der Woche daran arbeiten... wenn ich kurz drüber nach denke, hast du mich glaube ich auf die richtige Fährte gebracht. :) Ich melde mich.

Grüße,
einzeller
Nach oben
uname
Beiträge: 12460
Registriert: 03.06.2008 09:33:02

Re: DEB-Pakete neu signieren

Beitrag von uname » 19.05.2009 16:28:38

Ich habe noch einmal drüber nachgedacht.

Du musst eigentlich folgende Struktur nachbauen:

http://ftp.de.debian.org/debian/dists/lenny/

Dateien:

Release (Auszug):

Code: Alles auswählen

66c12e8981e4aa229abe8df79a1eb5a2 24528400 main/binary-i386/Packages
521d98c471e9021bf11c0a38717907b1  6923788 main/binary-i386/Packages.gz
d9a6c33b1b7b2870d1737cd87e29fbf5  5309944 main/binary-i386/Packages.bz2
083a915691485b887dd98ae94f2ebdb6       95 main/binary-i386/Release
Release.gpg -> GPG-Schlüssel

Der GPG-Schlüssel sichert die Echtheit der Datei "Packages" mit den enthaltenen MD5-Checksummen der "Packages"-Dateien in den Unterordnern.
In den Packages-Dateien sind die Pakete mit weiteren Checksummen versehen.

Code: Alles auswählen

Package: 2vcard
Priority: optional
Section: utils
Installed-Size: 108
Maintainer: Martin Albisetti <argentina@gmail.com>
Architecture: all
Version: 0.5-2
Filename: pool/main/2/2vcard/2vcard_0.5-2_all.deb
Size: 14286
MD5sum: 07bce47e217017749622e02f75cff0d7
SHA1: 80b9ff12999d69be075de6e51b69c069a9a106a7
SHA256: 409b7e5e1efff1e8196ce5151a4cfa63dd2bd6a6f611e2a6c611a0a73d3e83f9
Description: perl script to convert an addressbook to VCARD file format
 2vcard is a little perl script that you can use to convert the
 popular vcard file format. Currently 2vcard can only convert addressbooks
 and alias files from the following formats: abook,eudora,juno,ldif,mutt,
 mh and pine.
 .
 The VCARD format is used by gnomecard, for example, which is turn is used by
 the balsa email client.
Tag: implemented-in::perl, role::program, use::converting
Nach oben
Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22451
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Re: DEB-Pakete neu signieren

Beitrag von KBDCALLS » 19.05.2009 21:08:47

Auch wenn ich damit noch nicht befasst habe. kann man überhaupt verhindern das Unsignierte Pakete instaliert werden können. Er wird doch höchstens gewarnt. Und die Warnung kann man ignorieren, oder gleich ganz abschalten.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Nach oben
Benutzeravatar
einzeller
Beiträge: 35
Registriert: 14.01.2008 13:57:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Re: DEB-Pakete neu signieren

Beitrag von einzeller » 20.05.2009 08:15:08

Die Updates sollen automatisch über cron-apt laufen, damit sollte das Einspielen unsignierter Pakete erledigt sein. Ich werde mich spätestens am Freitag wieder darum bemühen.

Danke für eure Beiträge,
einzeller
Nach oben
Benutzeravatar
einzeller
Beiträge: 35
Registriert: 14.01.2008 13:57:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Berlin

Re: DEB-Pakete neu signieren

Beitrag von einzeller » 22.05.2009 12:26:35

ich hab wieder etwas dran gewerkelt. und gehe dabei nach unames vorschlag:
ich packe alle packte einfach in das repo und signiere es. dazu erstelle ich eine release datei, eine gpg-signatur und signiere mit dieser die release datei. den öffentlichen schlüssel der signatur lade ich beim client und mache ihn für apt vertrauenswürdig (apt-key add pubkey).
so weit ist alles toll, nur leider wird bei der installation aus dem neuen repo immer noch vor nicht vertrauenswürdigen paketen gewarnt. hab ich was vergessen?

fürs signieren habe ich dieses tutorial verwendet und konnte alle schritte 1 zu 1 nachgehen:
http://michael.stapelberg.de/Artikel/Debian_Repository

grüße,
einzeller
Nach oben
Antworten

Zurück zu „Softwareentwicklung und -paketierung, Scripting“