ubuntu 16.04 安装源制作以及对Release文件做 gpg 签名

已于 2023-03-20 13:55:29 修改
阅读量3.6k 收藏
点赞数
文章标签: ubuntu linux 运维
于 2018-05-18 19:09:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whyliu_/article/details/80368382
版权

Ubuntu 16.04 (xenial) 在由本地 deb 软件包创建安装源repo时候, 跟14.04以前的版本相比, 强制要求使用 gpg 对 Release 文件签名, 否则无法使用:

Reading package lists... Done
W: The repository 'http://10.245.254.93/linux/ubuntu/updates/xenial ./ Release' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

为了解决这个问题,就需要使用 gpg 软件了。

1. 使用 GPG 创建的密匙,可供加密文件及签名文件使用,  也可创建专供签名文件使用的密匙。
密钥创建过程中,需要使用到足够的随机数(random),可先行安装rng-tools, 该工具可以常驻后台的方式, 生成随机数,避免gpg密钥创建过程中的长时间等待问题。

% sudo apt-get install rng-tools

% sudo rngd -r /dev/urandom 

% sudo gpg --gen-key

gpg (GnuPG) 1.4.20; Copyright (C) 2015 Free Software Foundation, Inc.This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:  

 (1) RSA and RSA (default) 
 (2) DSA and Elgamal
 (3) DSA (sign only)
 (4) RSA (sign only)Your selection? 4

RSA keys may be between 1024 and 4096 bits long.What keysize do you want? (2048) 2048

Requested keysize is 2048 bits
Please specify how long the key should be valid. 
        0 = key does not expire 
     <n>  = key expires in n days
     <n>w = key expires in n weeks 
     <n>m = key expires in n months 
     <n>y = key expires in n yearsKey is valid for? (0)

Key does not expire at allIs this correct? (y/N) y

You need a user ID to identify your key; the software constructs the user ID from the Real Name, Comment and Email Address in this form:    "Heinrich Heine (Der Dichter) <aliyunzixun@xxx.com>"

Real name: Ubuntu Local Archive Automatic Signing Key

Email address: aliyunzixun@xxx.comispc.cn

Comment: 2017 You selected this USER-ID:   

         "Ubuntu Local Archive Automatic Signing Key (2017) <aliyunzixun@xxx.com>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o

You need a Passphrase to protect your secret key.gpg: gpg-agent is not available in this session

We need to generate a lot of random bytes. It is a good idea to performsome other action (type on the keyboard, move the mouse, utilize thedisks) during the prime generation; this gives the random numbergenerator a better chance to gain enough entropy

.......++++++++++

gpg: key 7A1E912A marked as ultimately trusted
public and secret key created and signed.
gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   2  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 2u
pub   4096R/7A1E912A 2017-03-15

      Key fingerprint = A11A 69B7 15AB B83A C6AC  4282 02FE 7153 F5A2 4A14

uid                  Ubuntu Local Archive Automatic Signing Key (2017) <aliyunzixun@xxx.comispc.cn

2. 导出 gpg 公钥和私钥, 并放到可下载的地方, 比如某个http://xxx.xxx.xxx.xxx/debs/ 对应的目录下:

  • 私钥,供Server端,对release文件签名使用  
  • 公钥,需在Ubuntu client 导入,供apt-get使用
% sudo gpg --list-key

/root/.gnupg/pubring.gpg

------------------------

pub   4096R/7A1E912A 2017-03-02 [expires: 2022-03-01]

uid                  Ubuntu Local Archive Automatic Signing Key (2017) <mac@ispc.cn>

% sudo gpg -a --export 7A1E912A > Ubuntu_Local_Archive_Signing_Key.pub

% sudo gpg -a --export-secret-keys 7A1E912A > Ubuntu_Local_Archive_Signing_Key.sec

GPG在给文件签名时候,默认使用SHA1算法,导致在后续使用过程中,出现下述告警:
    Release.gpg: Signature by key ADAF3EDBBB0035413FD4FEDBB3E7CC5C7A1E912A uses weak digest algorithm (SHA1)

 在给 Releases 文件签名前,修改 ~/.gnupg/gpg.conf, 定义参数 personal-digest-preferences(the digest used for signing messages)为SHA256。另外有SHA224,SHA256,SHA384,SHA512几个选项, 可根据需求随意选择, 只要不用SHA1就好, 要不又会出上面的告警提示了。

2. 创建Package file

首先将 ubuntu 的安装文件拷贝到 web 服务的目录中,例如可以将 ubuntu 系统的缓存包:/var/cache/apt/archives 目录内的内容拷贝到 web 服务目录中。

2.1 使用 dpkg-scanpackages 这种 internet 上常见的方式升成 Packages.gz 索引文件

使用 dpkg-scanpackages 命令前需要先安装 dpkg-dev 软件包

% sudo dpkg-scanpackages . /dev/null | gzip -9c > Packages.gz

2.2 也可以使用apt-ftparchive 命令方式,可一样达到目的,  apt-ftparchive 是系统默认已经安装的软件包, 不需要再安装。但 apt-ftparchive 不能检查并提示同名软件包的不同版本。解决办法是, 提前在deb软件包尚在 /var/cache/apt/archives 目录内的时候, 使用apt-get autoclean命令, 清除老版本软件包。

% sudo rm -f Packages.gz Packages
% sudo apt-ftparchive packages . | gzip -9c > Packages.gz
% sudo gunzip -k Packages.gz


3. 创建release file

% sudo apt-ftparchive release ./ > Release 
% sudo gpg -abs --default-key 7A1E912A -o Release.gpg Release
% sudo gpg --clearsign --default-key 7A1E912A -o InRelease Release

4. 对release file签名

% sudo gpg -abs --default-key 7A1E912A -o Release.gpg Release
% sudo gpg --clearsign --default-key 7A1E912A -o InRelease Release

5. 在 ubuntu 客户端进行如下操作,使用自定义的安装源

5.1 修改 /etc/apt/sources.list 文件

%sudo echo "deb [arch=amd64] http://10.245.254.93/linux/ubuntu/updates/xenial ./" >> /etc/apt/sources.list

5.2. 下载并导入给release file 签名的公钥

% sudo wget http://10.245.254.93/linux/ubuntu/updates/gpg/Ubuntu_Local_Archive_Signing_Key.pub
% sudo apt-key add  Ubuntu_Local_Archive_Signing_Key.pub

5.3. 使用新建成的安装源

% sudo apt-get update

Leon-2012
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
Ubuntu下自定义和使用库
12-15
Ubuntu下自定义和使用库 博客,http://blog.csdn.net/shunqiziranhao007/article/details/8298175
ubuntu 创建本地deb软件包时,对Release文件gpg签名
小田坎儿
06-02 8036
Ubuntu 16.04 (xenial) 在将本地deb软件包创建repo时候,跟14.04以前的版本相比,强制要求gpgRelease文件签名,否则无法使用: Reading package lists... Done W: The repository 'http://10.245.254.93/linux/ubuntu/updates/xenial ./ Release' is no
Ubuntu安装docker-ce添加GPG密钥失败解决方案
最新发布
solo的博客
07-06 2063
豆瓣pypi:http://pypi.douban.com/,https://pypi.doubanio.com/上海交通大学:http://ftp.sjtu.edu.cn/, ftp://ftp.sjtu.edu.cn/SJTUG 致远镜像站:https://mirrors.sjtug.sjtu.edu.cn。清华大学:https://mirrors.tuna.tsinghua.edu.cn/哈尔滨工业大学:https://mirrors.hit.edu.cn/
解决apt update失败的问题 See apt-secure(8) manpage for repository creation and user configuration details
热门推荐
woshiheweigui的博客
10-21 2万+
ubuntu在apt-get update的时候报一下错误: 错误:GPG error: https://developer.download.nvidia.cn/compute/cuda/repos/ubuntu1804/x86_64 Release: The following signatures were invalid: BADSIG F60F4B3D7FA2AF80 cudatools cudatools@nvidia.com 经过排查,是网络问题,我切换到外网在更新一下,没有任何问题:
kubernetes(K8S)集群组件(二) ------ containerd(容器运行时)的安装和使用
09-26 1098
​ 容器技术除了docker之外,还有其它不同的容器技术,为了保证容器生态的标准和健康可持续发展,包括Linux基金会Docker、微软、红帽、谷歌、IBM和华为等公司在2015年6月共同成立了open container(OCI)组织,目的是制定开放标准的容器规范。
ubuntu制作apt本地
weixin_46285678的博客
09-06 7571
说明:本地的是没有签名的,直接更新apt会提示找不到release文件,是一种不安全的,默认是被禁用的。如果还要安装的话需要加上这个 --allow-unauthenticated选项。提示:apt-get update更新时,如果出现下面“执行命令时 中间可能需要配置用户名密码 自定义就行。Sum mismatch”的报错。需要用到的gpg软件 提前准备。更新完成就可以愉快的使用了。安装软件包dpkg-dev。
N: See apt-secure(8) manpage for repository creation and user configuration details.
qq_58463518的博客
09-02 1773
Some index files failed to download. They have been ignored, or old ones used instead
Ubuntu 16.04安装 Pale Moon浏览器.docx
10-30
Ubuntu 16.04操作系统中安装Pale Moon浏览器的过程相对简单,但需要用户手动添加一个第三方软件仓库,因为Pale Moon并不包含在Ubuntu的官方软件中。以下是一步一步的详细指南: 首先,让我们了解一下Pale Moon...
基于 Ubuntu 16.04 LTS 安装 Docker (使用公网脚本 或 apt-get 安装
01-20
gpg密钥:③、查看 GPG 的公钥:④、使用 lsb_release 获取当前 操作系统 的代号:⑤、添加 Docker 官方稳定版 的:⑥、再次 更新 apt 包:⑦、开始安装 Docker 并 查看版本:⑧、或者可以安装 软件中 docker 的...
Linux ubuntu安装mongodb的方法
12-16
总结来说,安装MongoDB在Ubuntu上分为下载、解压、配置环境变量、创建数据库目录以及使用`apt-get`或`systemctl`管理服务等步骤。遵循这些步骤,你可以成功地在Ubuntu系统上部署MongoDB。记住,根据你的具体需求和...
bazel-release.pub.gpg
12-05
2022年12月5日于官方网站https://bazel.build/bazel-release.pub.gpg上下载的bazel-release.pub.gpg文件,可以用于ubuntu16.04和18.04上bazel的安装安装教程见:...
Ubuntu及ROS的安装.pdf
09-10
在本教程中,我们将详细讲解如何在VMware虚拟机中安装Ubuntu 16.04 LTS(长期支持版)。 1. 首先,确保您已经安装了VMware虚拟机软件。VMware是一款强大的虚拟化工具,允许您在同一台物理机器上运行多个操作系统。 ...
ubuntu使用dpkg-scanpackages和nginx搭建本地
Luck_ZZ的博客
08-24 3569
一、服务端安装dpkg-dev和nginx 服务端主机名node sudo apt-get install dpkg-dev nginx -y 二、创建目录 software目录存放deb包 focal表示ubuntu的版本 binary-amd64是64位操作系统 mkdir -p /var/debs/ubuntu/software/ mkdir -p /var/debs/ubuntu/dists/focal/main/binary-i386/ mkdir -p /var/debs/ub
如何在 Debian 上为软件包创建自己的存储库
太极淘的博客
02-12 1475
您想要构建自己的本地存储库的原因有多种。这是创建本地镜像存储库以缓存许多计算机使用的常用软件包以节省带宽使用的好方法,或者您可能希望在内部为开发团队提供一些修改过的软件包。 在本教程中,我们将向您展示如何轻松创建与 Debian 和 Ubuntu 版本兼容的本地 Debian 软件包存储库。 第 1 步:安装所需的包 在基于 Debian 的系统上,所有存储库都由APT实用程序(apt、apt-get、apt-cache 等)管理。创建与 APT 兼容的本地存储库需要 dpkg-dev 软件包。 首
Bug:apt update报错,:: The repository “http://xx Release‘ does nothave a Release file解决
kingkingsssss的专栏
05-24 2361
Bug:apt update报错,:: The repository "http://xx Release' does nothave a Release file解决方案
linux安装软件有问题,linux 更换 软件GPG错误
weixin_42522131的博客
05-03 1545
linux 更换 软件GPG错误如文章【1】中提到:1,对于DEBIAN系:如果您的套件支援APT-KEY金鑰管理(例如Ubuntu 6.06或者之後的版),請先安裝DRBL的金鑰 (ID: 1024D/D7E8DF3A, Key fingerprint = F532 A131 65AF 2168 1634 DB1B 4000 9511 D7E8 DF3A),有兩個方式可以來安裝。方法1: ...
自建 APT 软件安装常用软件
ymz641的专栏
09-18 5849
各大使用 deb 包的 linux 发行版,官方软件中总会有一些软件没有收录,需要我们通过各种渠道去寻找,有时即使找到了 deb 包,也会因缺少依赖而安装失败。如果自建 apt 个人软件,则通过 apt 安装时就会自动安装依赖,从而提供一个稳定的安装环境。
第三章 Ubuntu包管理工具介绍及本地配置
yjun89的博客
06-24 5677
不论是在学习还是在Linux运维的过程中都需要安装各种软件包以及使用包管理工具,但由于很多内网环境几乎不允许生产环境的服务器连接互联网,这样就造成内网服务器无法使用网上的各种,而且如果使用来回拷贝软件包安装还得解决依赖问题,所以就需要搭建个本地。由于很多内网环境都是不允许连接互联网,无法使用网上的各种,而且在安装软件包时由于多数软件包的安装都需要解决依赖关系,使用来回拷贝软件包安装麻也比较麻烦,并且还得解决软件包之间的依赖问题,所以就需要搭建个本地。这可能是也可能不是想要的效果,所以要小心使用。
GPG ---- 实现加密与数字签名
weixin_43189623的博客
11-01 1881
GPG简介 加密的一个简单但又实用的任务就是发送加密电子邮件。多年来,为电子邮件进行加密的标准一直是PGP(Pretty Good Privacy)这个软件非常好用,迅速流传开来,成了许多程序员的必备工具。但是,它是商业软件,不能自由使用 作为PGP的替代,如今已经有一个开放代码的类似产品可供使用。GPG(Gnu Privacy Guard),它不包含专利算法,能够无限制的用于商业应用 基...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leon-2012

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值