2004-06-18 12:55
by Vasil KolevКак да ползваме проверка на сигнатурите на пакетите на debian:
Предполагаме, че имате инсталирано GPG. Освен това, тази процедура съм я пробвал само на unstable, не знам как ще се отрази върху машина със stable. Може да пробвам с marla, но по-късно.
Добавяме си ред в sources.list за experimental:
deb ftp://debian.ludost.net/debian ../project/experimental main
(или
deb ftp://ftp.de.debian.org/debian ../project/experimental main
С ftp.bg.debian.org поне едно време не ставаше.)
Описваме си, че искаме само каквото изрично кажем от experimental, в /etc/apt/preferences:
Package: *
Pin: release a=experimental
Pin-Priority: 50
Инсталираме си apt от experimental:
apt-get install apt/experimental
Инсталираме си debian-keyring пакета (всички gpg ключове на debian хората):
apt-get install debian-keyring
Добавяте си ролевите ключове в keyring-а на apt:
apt-key add /usr/share/keyrings/debian-role-keys.gpg
След това направете apt-get update, и трябва да мине без проблем. Ако не ползвате non-us, а само неща от стандартния архив, debian-keyring може и да не ви потрябва, ключа по подразбиране в apt-get е основния.
Проверката дали тези ключове са истински оставям за домашно…
June 18th, 2004 at 16:44
Става и така, ама е половинчато решение, щото има много хора, които ползват много repository-та дали официални, мирор-и, дали неофициални.. идеята която обсъждахме с теб и Жоро Гунински е ключовете да се сравняват директно с debian.org, а самите пакети да си ги теглиш от където искаш (стига да им има описанията в debian.org).. а това с експериментал почти всяка седмица го чупят (като пакети), не бих разчитал на това :-/
June 22nd, 2004 at 21:11
май наистина се подготвя нещо…виж последния параграф на http://www.debian.org/releases/
също и скриптчето.. но е само за сорсовете май :-/
http://people.debian.org/~ajt/apt-check-sigs