いくつかのdebパッケージを作成したいのですが、「署名」パッケージがどのように機能するのかわかりません。だから私は、署名されたdebパッケージを作成する方法を考えていました。
いくつかのdebパッケージを作成したいのですが、「署名」パッケージがどのように機能するのかわかりません。だから私は、署名されたdebパッケージを作成する方法を考えていました。
回答:
Ubuntu / Debianシステムでのパッケージ署名はやや面倒です。理論的には、debパッケージに署名すると、パッケージを受け取った人は、署名後にパッケージが変更されていないことを確認できます。実際には、署名の検証はセットアップが非常に難しく、デフォルトでは無効になっています。ユーザーがローカルで一連のセットアップを行わない限り、パッケージのインストール時に署名を検証しません。
パッケージに署名するには、debsigsまたはdpkg-sigのいずれかを使用できます。署名は互いに互換性がないため、ユーザーが署名を検証するために受信側で適切なツールを使用していることを確認する必要があります。
dpkg-sigはあなたとユーザーの両方にとって使いやすいですが、debsigsはUbuntuとDebianの組み込みサポート(デフォルトでは無効)を備えたツールです。
ソースパッケージ(.dscファイル)、バイナリパッケージ(.deb)、およびAPTパッケージリポジトリ自体の署名と検証に関する技術的な詳細をすべて含むブログ投稿をここに書き込みました:http : //blog.packagecloud.io/eng/2014/ 10/28 / howto-gpg-sign-verify-deb-packages-apt-repositories /
Debian / Ubuntuでのパッケージ署名は、通常、.changesファイルを介して行われます。パッケージをビルドすると、最終的に.changesファイルが作成される傾向があり、ビルドの結果(ソースパッケージやバイナリパッケージ)とそのチェックサムを一覧表示します。パッケージに署名すると、これは通常署名するファイルです(したがって、チェックサムによるパッケージの整合性)。
.changesファイルに署名する最も簡単な方法は、 debsign
debsign hello_1.0_amd64.changes
あなたはあなたのGnuPGキーチェーンに主キーを持っている場合、これは自動的に行われ、あなたが実行しdpkg-buildpackage
たりdebuild
せず-us
と-uc
スイッチ。