自建 APT 软件源安装常用软件

各大使用 deb 包的 linux 发行版，官方软件源中总会有一些软件没有收录，需要我们通过各种渠道去寻找，有时即使找到了 deb 包，也会因缺少依赖而安装失败。如果自建 apt 个人软件源，则通过 apt 安装时就会自动安装依赖，从而提供一个稳定的安装环境。关于安装本地软件源的工具，可以参考 debian 网站上的一个页面 DebianRepository Setup 。

自建 apt 个人软件源分为两部分：一部分是作为服务端关于自建个人软件源的配置，一部分是共普通用户作为客户端升级和安装软件的配置。

下面，先通过一个实例来演示一下自建个人软件源的基本步骤：

#apt软件源端配置(root用户下操作)
$ su
mkdir -p /var/lib/mydebs                          # 创建软件源存放目录
cd /var/lib/mydebs                                # 切换到软件源目录
cp /path/to/you/debs/*.deb /var/lib/mydebs/       # 将你的deb包复制到软件源目录
apt-ftparchive packages . > Packages              # 生成 Packages 文件
apt-ftparchive release . > Release                # 生成 Release 文件
gpg --clearsign -o InRelease Release              # 生成 InRelease 文件
gpg --armor --output /var/lib/mydebs/public.key --export hollowman   #导出公钥

#客户端配置（普通用户下操作）
$ sudo apt-key add /var/lib/mydebs/public.key     # 将本地公钥添加到 apt 可信密钥库中
$ sudo vim /etc/apt/sources.list.d/mydebs         # 添加 apt 软件源，写入下面这条源列表
deb file:/var/lib/mydebs ./
$ sudo apt update                                 # 更新软件数据
$ sudo apt install baidunetdisk                   # 安装本地软件源中的软件

一、服务端配置

1. Packages 和 Release

Packages 和 Release 是软件源中的俩个索引文件，apt 升级和安装软件时，是读取这两个文件，从而精准找到升级或者安装的软件包，从而进行软件的升级和安装。

因此，如果我们放入了新的安装包到个人软件源目录中，就必须重新扫描目录生成新的索引文件。

• Packages 内包含了每个安装包的基本信息，apt show 命令的输出信息就来自于此文件
• Release 内包含了每个安装包的大小和校验信息（包含MD5/SHA1/SHA256/SHA512 等）

1）生成 Packages 文件

可以用 apt-ftparchive 命令来生成：

apt-ftparchive packages . > Packages   

也可以用 dpkg-scanpackages 命令来生成：

dpkg-scanpackages -m . > Packages  # -m 选项的作用是将不同版本的安装包信息都读取到 Packages 中，不加 -m 选项则只会采集最新安装包信息

2）生成 Release 文件

apt-ftparchive release . > Release

2. InRelease 和 Release.gpg

生成 InRelease 和 Release.gpg 的命令如下（期间要求输入口令）：

gpg --clearsign -o InRelease Release            # 生成 Release 的明文签名文件，并指定输出文件名为InRelease
gpg -ab -o Release.gpg Release                  # 生成 Release 的文本分离签名文件，并指定输出文件名为Release.gpg

上面的命令看似简单，却用到了签名技术(也就是对文件进行签名的意思) ，因为 InRelease 和 Release.gpg 这两个文件都将所谓的签名信息写入 Release 文件内容中后形成的一个新的文件，只不过 InRelease 是将 Release 内容放在前面，签名信息放在后面；而 Release.gpg 则将 Release 的内容与签名信息进行了进一步的加密。

debian12 系统下，InRelease 和 Release.gpg 只需要生成其中一个即可。

linux 系统中常见的数字签名软件有 GPG ，而要创建包含签名信息的文件必须先安装 GPG KEY（密钥）（上面的命令不是要输入口令吗，这个口令就是生成 GPG KEY 密钥时自己创建的）。

结合 apt 软件源，这里先理顺一下 apt 工具与 GPG 数字签名的因果关系：

• 1、服务端需要有一个用于完成数字签名、解密签名的密钥对（私钥/公钥），没有就创建一个（ gpg --gen-key ），每一个密钥对都会有用户姓名、用户邮箱，并且会生成唯一的用户ID，也会要求有一个保护口令。
• 2、服务端利用密钥对中的私钥对来生成带数字签名的文件，也就是 InRelease 和 Release.gpg，期间就需要输入口令才能生成。
• 3、客户端要访问服务端中带签名的文件，那就必须有公钥才能将签名文件进行验证才行，而 apt 工具提供了一个可信密钥库，可以将这些公钥存储进来，自动完成验证工作。

下面就来学习一下 GPG 的常见用法。

二、GPG 数字签名

1. 用 gpg --full-generate-key 或者 gpg --gen-key 创建密钥

$ sudo gpg --full-generate-key                        # 功能齐全的密钥生成方式 ，也可以用 gpg --gen-key 用默认功能生成密钥
gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

请选择您要使用的密钥类型：  
   (1) RSA 和 RSA （默认）
   (2) DSA 和 Elgamal
   (3) DSA（仅用于签名）   
   (4) RSA（仅用于签名） 
   （14）卡中现有密钥
您的选择是？ 1                                 # 选择密钥类型，默认为1
RSA 密钥的长度应在 1024 位与 4096 位之间。
您想要使用的密钥长度？(3072) 4096              # 选择密钥长度，默认是3072
请求的密钥长度是 4096 位
请设定这个密钥的有效期限。    
     0 = 密钥永不过期      
     <n>  = 密钥在 n 天后过期      
     <n>w = 密钥在 n 周后过期      
     <n>m = 密钥在 n 月后过期      
     <n>y = 密钥在 n 年后过期
密钥的有效期限是？(0) 0                          # 制定密钥有效期，默认是0,也就是永久有效
密钥永远不会过期
这些内容正确吗？ (y/N) y                         # 确认上述选项

GnuPG 需要构建用户标识以辨认您的密钥。

真实姓名： hollowman                             # 配置一个姓名
电子邮件地址： ymz316@126.com                    # 配置一个邮箱
注释： 用于deb软件源                             # 给密钥写一个注释
您正在使用‘utf-8’字符集。
您选定了此用户标识：    “hollowman (用于deb软件源) <ymz316@126.com>”

更改姓名（N）、注释（C）、电子邮件地址（E）或确定（O）/退出（Q）？ o    # 确认，此后会要求你输入一个口令来保护你的私钥，记得添加和记住这个口令。
我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数发生器有更好的机会获得足够的熵。我们需要生成大量的随机字节。在质数生成期间做些其他操作（敲打键盘、移动鼠标、读写硬盘之类的）将会是一个不错的主意；这会让随机数发生器有更好的机会获得足够的熵。                          
#生成这段文字期间，可以随意敲打键盘，这会得到足够的熵(熵在物理学中是微观状态混乱度的度量)。
gpg: 吊销证书已被存储为‘/root/.gnupg/openpgp-revocs.d/7D4389198BB40D728440DDDCE0A525EB1BBAB380.rev’
公钥和私钥已经生成并被签名。
pub   rsa4096 2023-10-22 [SC]
      7D4389198BB40D728440DDDCE0A525EB1BBAB380
uid                      hollowman (用于deb软件源) <ymz316@126.com>
sub   rsa4096 2023-10-22 [E]

完成此步就可生成 InRelease 和 Release.gpg 文件了。

2. 查看密钥对

$ sudo gpg --list-keys
/root/.gnupg/pubring.kbx
------------------------
pub   rsa4096 2023-10-22 [SC]
      7D4389198BB40D728440DDDCE0A525EB1BBAB380
uid             [ 绝对 ] hollowman (用于deb软件源) <ymz316@126.com>
sub   rsa4096 2023-10-22 [E]

• 第一行是公钥文件路径
• 第二行是公钥信息，很长那段字符串中的最后16位（）（E0A525EB1BBAB380）表示的就是用户id
• 第三行是用户ID
• 第四行是私钥简单情况

3. 删除密钥对

gpg --delete-secret-keys hollowman               # 删除私钥
gpg --delete-keys  hollowman                     # 删除公钥
gpg --delete-secret-and-public-keys hollowman    # 删除密钥对（公钥和私钥都删除）

4.导出密钥文件（方便用户直接将公钥文件添加到 apt 可信密钥库中）

gpg --armor --output /var/lib/mydebs/public.key --export hollowman                # 导出公钥，--armor可以将密钥转换为ASCII码
gpg --armor --output /var/lib/mydebs/secret.key --export-secret-keys hollowman    # 导出私钥，需要用到口令，不常用。

导出公钥后，就可以在客户端用 apt-key add 命令将这个公钥导入到可信密钥库中进行正常的软件更新和安装了。

5. 将公钥上传到公钥服务器中（方便用户直接从公钥服务器中添加公钥到 apt 可信密钥库中）

gpg --keyserver keyserver.ubuntu.com --send-keys E0A525EB1BBAB380   #上传公钥，不能用用户姓名，必须用用户ID

6. 导入密钥文件

导入私钥：

gpg --allow-secret-key-import --import /var/lib/mydebs/public.key     # 从文件导入

导入公钥：

gpg --import /var/lib/mydebs/public.key                                # 从公钥文件导入
gpg --keyserver keyserver.ubuntu.com --search-keys E0A525EB1BBAB380    # 从公钥服务器导入

7. 加解密文件

1) 对称加解密

对称加/解密无需使用到密钥，类似与普通的秘密加密。

$ gpg -c a.txt          # 对a.txt文件加密，输入两次口令后即可生成一个a.txt.gpg 二进制加密文件
$ gpg a.txt.gpg         # 对 a.txt.gpg 解密,可以使用 -o 参数指定解密后的文件名，-d 指定加密文件。

2）利用公钥加解密

常用选项：

–encrypt（-e） ：加密数据
–armor（-a） ：创建 ASCII 的输出（不使用这个参数输出的文件是一个二进制文件，以 .gpg 结尾）
–recipient（-r） ：指定 GPG KEY 的用户名或者用户ID或者邮箱。

$ sudo gpg --recipient hollowman --armor --output a.txt.gpg --encrypt a.txt   #用公钥加密a.txt文件，需要输入口令
$ sudo gpg a.txt.gpg   #对 a.txt.gpg 解密

8. 签名及验证

apt 就是用到了签名这个东西，签名并不会可以去加密文件本身，只是会将签名信息附加上去（加签），通常需要进行对包含签名信息的文件验证或者信任（验签）。

常用选项：

–sign ：指定要进行数字签名的文件，签名信息是二进制 ，默认生成文件的后缀名是gpg
–clearsign ：指定要进行明文签名的文件，签名信息是 ASCII文本，默认生成文件的后缀名是asc
–detach-sign ：对指定文件进行分离式签名，默认生成文件的后缀名是sig
–vertify ：对签名文件进行验证

$ sudo gpg --sign a.txt            # 对 a.txt 进行数字签名，默认生成 a.txt.gpg
$ sudo gpg --clearsign a.txt       # 对 a.txt 进行明文签名，默认生成 a.txt.asc
$ sudo gpg --detach-sign a.txt     # 对 a.txt 进行分离式签名，默认生成 a.txt.sig
$ sudo gpg --vertify a.txt.gpg     # 对 a.txt.asc 文件进行验证，如果文件进行了修改，则会提示为损坏的签名。

分离式签名：签名文件只包含原文的签名信息，也就是签名信息单独作为一个文件，原文件不变。

三、用户端基本配置

1. 创建供 apt 使用的软件源列表

vim /etc/apt/source.list.d/mydebs.list
deb file:/var/lib/mydebs ./      #路径的格式也可以是这样的 file:///var/lib/mydebs ./ 或者 file:/var/lib/mydebs/ ./

2. 将公钥添加到 apt 可信密钥库中

这个就有很多方法了，可以远程添加，也可以本地添加，还可以直接使用远程公钥，这里用到的命令是 apt-key

方法1：将本地公钥添加到 apt 可信密钥库:

$ sudo apt-key add /var/lib/mydebs/public.key

方法2：将远程公钥添加到 apt 可信密钥库

$ sudo wget -qO - {{https://host.tld/filename.key}} | apt-key add -

方法3：从密钥服务器中添加到 apt 可信密钥库

$ sudo apt-key adv --keyserver keyserver.ubuntu.com --recv  E0A525EB1BBAB380  # 这需要先将你的公钥上传至密钥服务器中，见上面的步骤

3.正常使用

$ sudo apt update
$ sudo apt install baidunetdisk

常用的官方 deb 包有：百度网盘，QQ，VSCode，edge，wps-office。

常用的非官方 deb 包有：优麒麟wine版微信（ukylin-wechat 和 ukylin-wine），迅雷

下面是我在debian 12 系统中搭建的个人软件源：