Debian Sources List Generator

[beLI3VeR]

Hallo,

ich bin der Maintainer des Debian Sources List Generators.

https://debgen.simplylinux.ch/

Vielleicht kennen ihn ja ein paar von euch.
Ich wollte mich einfach mal erkundigen, was ihr von dem Dienst haltet und würde mich über konstruktive Kritik und über weitere Vorschläge für Repos sehr freuen.

Danke

[TRex]

Hm, eine kompaktere Liste der 3rd-party-repos fände ich gut. Ich hab keine konkrete Vorstellung, aber wenn man stretch (oder welche distri auch immer) auswählt, wird man direkt mit einer Menge Zeug überfahren und muss ziemlich weit scrollen für die Bestätigung.

[MSfree]

- Mirrors nicht selektierbar, bei mir ist das Pulldown ausgegraut.

- Für die aktuelle Distribution steht in der generierten Liste:

Code: Alles auswählen

###### Debian Main Repos
deb http://deb.debian.org/debian/ stable main contrib non-free

deb http://deb.debian.org/debian/ stable-updates main contrib non-free

deb http://deb.debian.org/debian-security stable/updates main

deb http://ftp.debian.org/debian stretch-backports main

Im Moment ist das ja OK, aber wenn Buster stable wird, ist es ziemlich ungeschickt Backports aus Stretch zu installieren (letzte Zeile)

Ich halte es für sinnvoller, die Distribution durchgehen "stable" oder "stretch" zu nennen, idealerweise auswählbar.

Und, sorry wenn ich nörgle, your english makes you nobody so easy after:

Attention!!!
Before you start install this packages first:

Ein Ausrufungszeichen reicht und statt "this" muß es "these" heißen.

[2undvierzig]

Der Generate-Button hat bei mir keine Funktion (Chromium Version 59.0.3071.86 mit uBlock Origin)
Unter Firefox 52.2.0 gehts auch nicht.
Ach ja, ich nutze Debian, vielleicht liegts ja daran.

[beLI3VeR]

Der Generate-Button hat bei mir keine Funktion (Chromium Version 59.0.3071.86 mit uBlock Origin)
Unter Firefox 52.2.0 gehts auch nicht.
Ach ja, ich nutze Debian, vielleicht liegts ja daran.

Du musst erst ein Release auswählen.

[2undvierzig]

danke. das wars
gute Nacht.

[beLI3VeR]

- Mirrors nicht selektierbar, bei mir ist das Pulldown ausgegraut.

Den Text im grauen Feld lesen, dort die Checkbox deaktivieren dann geht es.

- Für die aktuelle Distribution steht in der generierten Liste:
Im Moment ist das ja OK, aber wenn Buster stable wird, ist es ziemlich ungeschickt Backports aus Stretch zu installieren (letzte Zeile)

Ich halte es für sinnvoller, die Distribution durchgehen "stable" oder "stretch" zu nennen, idealerweise auswählbar..

Backports gibt es ja leider nur mit dem Namen, daher werden Sie von mir Manuel immer angepasst.

Und, sorry wenn ich nörgle, your english makes you nobody so easy after:

Attention!!!
Before you start install this packages first:

Ein Ausrufungszeichen reicht und statt "this" muß es "these" heißen.

Danke behoben.

[MSfree]

Backports gibt es ja leider nur mit dem Namen, daher werden Sie von mir Manuel immer angepasst.

Ich sehe so einen Generator für die sources.list hauptsächlich als Hilfe für unerfahrenere Nutzer, ich persönlich brauche so einen Generator nicht, halte ihn aber trotzdem für sinnvoll. Es ist meiner Meinung nach sicherer für diese Zielgruppe, den Releasenamen in allen Einträgen zu generieren statt in diesem Fall "stable". Denn das führt in ein paar Jahren zur bösen Überraschung, wenn Buster auf stable wechselt. So oft überprüft man die sources.list auf seiner Festplatte ja nicht, da gerät eine Mischung aus stretch und stable auch schonmal in Vergessenheit.

[BenutzerGa4gooPh]

Ich wollte mich einfach mal erkundigen, was ihr von dem Dienst haltet

Als Einsteigerin hatte ich einen Generator benutzt, vllt. deinen, zusammen mit dem Wiki zum Verständnis. Danke für deine Arbeit.

Links auf Wikis (deutsch/engl.) wären demzufolge für Neue gut.
https://wiki.debianforum.de/Sources.list
https://wiki.debian.org/SourcesList

Releasewahl als erste Handlung ganz oben anordnen. Erscheint mir logischer.

Button/Feld Mirrorwahl (optisch) hinter Fastest Server positionieren, weil abhängig. Mirror-Bedienung ist momentan irgendwie komisch, die Abhängigkeit nicht intuitiv.

Backports per default-Haken ist m. E. nicht sinnvoll für Zielgruppe Anfänger. Sollte erst bei Bedarf in der sources.list gemacht werden.

deb-src per default "auskommentiert" im Ergebnis/Liste. Grund dgl.

Ueber die Auswahl der Sektionen/Repos entsprechende Überschrift. Und Kurztexte dahinter. Für Anfänger.

[TRex]

Bugreport: das docker-repo hat seine Verzeichnisstruktur geändert - funktioniert nicht mehr wie beschrieben.

heißt nun:

Code: Alles auswählen

deb https://apt.dockerproject.org/repo/ debian-jessie main

[Christoph Franzen]

Hallo, Dein Generator hat sich die Tage als sehr praktisch erwiesen, danke also. Auch als Nicht-Anfänger fragt man sich ja gelegentlich: „Wie hieß das nochmal bei Stretch?“, weil auch die Standard-Eintragungen sich dann und wann ändern, ganz zu schweigen von den Drittanbietern.

Da wären wir beim Anlaß, weswegen ich schreibe: WINE ist aktuell kaputt, die für „stable“ generierte Eintragung geht nicht.

Viele Grüße, Christoph

[Christoph Franzen]

Ich wollte mich einfach mal erkundigen, was ihr von dem Dienst haltet

Releasewahl als erste Handlung ganz oben anordnen. Erscheint mir logischer.

Button/Feld Mirrorwahl (optisch) hinter Fastest Server positionieren, weil abhängig. Mirror-Bedienung ist momentan irgendwie komisch, die Abhängigkeit nicht intuitiv.

Das stimmt, da habe ich Zeit gebraucht, um das zu durchschauen. Der große Kasten mit dem Haken drin ist zwar auffällig, man fragt sich aber trotzdem ersteinmal, warum man keinen Server auswählen kann. Vielleicht einfach „automatisch“ als eine Eintragung in der Liste anstelle des Häkchens machen und die Erläuterung dazu genau dann einblenden, wenn „automatisch“ tatsächlich ausgewählt ist? Die Distributions-Auswahl gehört auch meiner Meinung nach ganz oben links hin, mit „stable“ vorbelegt.

Backports per default-Haken ist m. E. nicht sinnvoll für Zielgruppe Anfänger. Sollte erst bei Bedarf in der sources.list gemacht werden.

deb-src per default "auskommentiert" im Ergebnis/Liste. Grund dgl.

Auch hier stimme ich uneingeschränkt zu. Anfänger werden eher nichts weglassen, das „empfohlen“ (also vor-angekreuzt) wird und gerade mit den Backports kann man sich die seltsamsten Probleme einhandeln. Das „hakt“ später sehr oft beim Update der bestehenden Pakete, weil ein Paket aus den Backports die Abhängigkeiten auch für zahlreiche andere Programme beeinflussen kann.

[TRex]

Und schon sind wir beim Problem solcher Lösungen: sie veralten schnell, wenn upstream keinen Wert auf Persistenz legt. Und mein voriger Kommentar wurde auch nicht kommentiert, also haben wir eine vermutlich ungewartete Quelle von Fehlinformationen... wäre das nun irgendwie wichtig, dann könnte man die Quellen (meinetwegen in Containern isoliert) serverseitig prüfen und travis-artig mit einem badge (OK, two months old, unreachable) markieren.

[Ibex]

Es ist meiner Meinung nach sicherer für diese Zielgruppe, den Releasenamen in allen Einträgen zu generieren statt in diesem Fall "stable". Denn das führt in ein paar Jahren zur bösen Überraschung, wenn Buster auf stable wechselt. So oft überprüft man die sources.list auf seiner Festplatte ja nicht, da gerät eine Mischung aus stretch und stable auch schonmal in Vergessenheit.

Sehe ich genauso, ich habe den Generator auch schon mal genutzt für den umstieg auf ein neues Debian release, und habe das sofort geändert. Ich entscheide lieber selbst, wann ich umsteige.

[ingo2]

Aus aktuellem Anlaß aktiviere ich diesen Thread mal wieder - falls nicht gewünscht, bitte verschieben.

Mit dem Upgrade auf apt 2.4.0 in Bookworm ist "apt-key" depreciated und apt gibt eine entsprechene Warnung aus. Das betrifft direkt zwar nur "Drittquellen", aber in einem ersten Schritt werden "Fremd-Keys" aus /etc/apt/trusted.gpg.d/ verbannt. Sie sollten jetzt in /etc/apt/keyrings/ liegen, womit sie nicht mehr globalen trust wie in der Datenbank "trusted.gpg" oder in trusted.gpg.d/ genießen, s. hier:
https://metadata.ftp-master.debian.org/ ... _changelog

Damit müssen jetzt die Fremdquellen in der zugehörigen sources.list die Option zur Authenmtifizierung einen Eintrag der Form
[ signed-by=/etc/apt/keyrings/<mein gpg-key> ]
zusätzlich bekommen. Habe das selbst mal bei mir mit Bookworm durchexerziert (eine gute Anleitung dazu findet sich hier: https://www.linuxuprising.com/2021/01/a ... o-add.html).
Das gibt dann ellenlange Zeilen in der sources.list, die meinen Full-HD Bildschirm fast voll ausnutzen .
Die sinnvolle Alternative ist daher, bei der Gelegenheit auf das "deb822" Format umzustellen. Auch das habe ich bei mir für Fremd-Repos komplett gemacht.
Mein Fazit dazu:
Das hätte man schon viel früher machen können/sollen, ist toll übersichtlich. Hab's inzwischen auch bei Bullseye so umgestellt.

Ob das mit der weiteren Optimierung von apt bezüglich Absicherung auch irgendwann für die Debian-Repos erfolgt, kann ich aber nicht sagen.

Jedenfalls wird schon jetzt mancher User happy über einen bequemen <fremd-sources>.sources Generator sein.

Gruß, Ingo

EDIT: Hier noch ein Beispiel für VirtualBox in Bullseye:
/etc/apt/sources.list.d/virtualbox.sources

Code: Alles auswählen

# VirtualBox

Enabled:	yes
Types:		deb
URIs:		https://download.virtualbox.org/virtualbox/debian
Suites:		bullseye
Components:	contrib
Architectures:	amd64
Signed-By:	/etc/apt/keyrings/virtualbox-archive-keyring.gpg

EDIT2:
Und nicht vergessen: die "trusted.gpg" ausmisten (apt-key list und del geht noch), dann sind die Warnungen weg.

[willy4711]

Damit müssen jetzt die Fremdquellen in der zugehörigen sources.list die Option zur Authenmtifizierung einen Eintrag der Form
[ signed-by=/etc/apt/keyrings/<mein gpg-key> ]
zusätzlich bekommen.

Ich würde sagen: Können, wenn man sich unbedingt einen Knoten ins Bein machen will.
Ich zitiere mal die Manpage von apt-key:

Except for using apt-key del in maintainer scripts, the use of apt-key is
deprecated. This section shows how to replace existing use of apt-key.

If your existing use of apt-key add looks like this:

Code: Alles auswählen

wget -qO- https://myrepo.example/myrepo.asc | sudo apt-key add -

Then you can directly replace this with (though note the recommendation
below):

Code: Alles auswählen

wget -qO- https://myrepo.example/myrepo.asc | sudo tee
       /etc/apt/trusted.gpg.d/myrepo.asc

Make sure to use the "asc" extension for ASCII armored keys and the "gpg"
extension for the binary OpenPGP format (also known as "GPG key public
ring"). The binary OpenPGP format works for all apt versions, while the
ASCII armored format works for apt version >= 1.4.

Recommended: Instead of placing keys into the /etc/apt/trusted.gpg.d
directory, you can place them anywhere on your filesystem by using the
Signed-By option in your sources.list and pointing to the filename of the
key.

Ich hab die Keys meiner 3 Fremdrepos problemlos nach /etc/apt/trusted.gpg.d/ übertragen
und gut ist. Siehe hier:
Für Virtualbox:

Code: Alles auswählen

/etc/apt/trusted.gpg.d/oracle_vbox.asc
--------------------------------------
pub   rsa4096 2016-04-22 [SC]
      B9F8 D658 297A F3EF C18D  5CDF A2F6 83C5 2980 AECF
uid        [ unbekannt ] Oracle Corporation (VirtualBox archive signing key) <info@virtualbox.org>
sub   rsa4096 2016-04-22 [E]

viewtopic.php?t=183717

[ingo2]

Ich würde sagen: Können, wenn man sich unbedingt einen Knoten ins Bein machen will.
Ich zitiere mal die Manpage von apt-key: ...

Dann schau doch mal ins Debian-Wiki hier https://wiki.debian.org/DebianRepository/UseThirdParty den Paragraph Sources.list entry. Das man-pages teilweise veraltet sind ist ja nichts neues.
Ich kann mir gut vorstellen, dass es bei dieser "Kleinigkeit" nicht bleibt und noch weitere Umbauten kommen.

[willy4711]

Dann schau doch mal ins Debian-Wiki hier https://wiki.debian.org/DebianRepository/UseThirdParty den Paragraph Sources.list entry. Das man-pages teilweise veraltet sind ist ja nichts neues.

Die Option steht ja auch in der Manpage.

Auf der von dir verlinkten Seite steht auch etwas für mich nicht verständliches:

The reason we point to a file instead of a fingerprint is that the latter forces the user to add the key to the global SecureApt trust anchor in /etc/apt/trusted.gpg.d, which would cause the system to accept signatures from the third-party keyholder on all other repositories configured on the system that don't have a signed-by option (including the official Debian repositories).

Also ich lasse das da wo es ist, solange es funktioniert. Kann dem auch nicht mehr Sicherheit abgewinnen.

Aber: jeder wie er das gerne haben möchte

[ingo2]

Und so soll es weiter gehen:

Ein Maintainer von apt schreibt in seimen Blog https://blog.jak-linux.org/2021/06/20/m ... y-apt-key/:

Assuming I get my merge request merged, the next version of APT (2.4/2.3.something) will do away with all the complexity and allow you to embed the key directly into a deb822 .sources file (which have been available for some time now):

Types: deb
URIs: https://myrepo.example/ https://myotherrepo.example/
Suites: stable not-so-stable
Components: main
Signed-By:
-----BEGIN PGP PUBLIC KEY BLOCK-----
.
mDMEYCQjIxYJKwYBBAHaRw8BAQdAD/P5Nvvnvk66SxBBHDbhRml9ORg1WV5CvzKY
CuMfoIS0BmFiY2RlZoiQBBMWCgA4FiEErCIG1VhKWMWo2yfAREZd5NfO31cFAmAk
IyMCGyMFCwkIBwMFFQoJCAsFFgIDAQACHgECF4AACgkQREZd5NfO31fbOwD6ArzS
dM0Dkd5h2Ujy1b6KcAaVW9FOa5UNfJ9FFBtjLQEBAJ7UyWD3dZzhvlaAwunsk7DG
3bHcln8DMpIJVXht78sL
=IE0r
-----END PGP PUBLIC KEY BLOCK-----

Then you can just provide a .sources files to users, they place it into `sources.list.d, and everything magically works

Ingo

EDIT:

Code: Alles auswählen

man sources.llist

unter Bookworm beschreibt das schon