Necesito paquetes específicos (fuente o binarios) de Debian.
¿Puedo descargar el paquete usando apt-get?
¿Cómo puedo agregar el repositorio de Debian a mi sources.list para que solo se use caso por caso? ¿Sin estropear mi sistema usando todo el repositorio de Debian?
¿Cómo puedo obtener la clave gpg para el repositorio de Debian para asegurarme de que el paquete fue firmado por el archivo de Debian?
(Por favor, no me diga que el sistema puede romperse. Soy consciente de eso y no podría importarme menos, porque puedo restaurar fácilmente una instantánea de VM).
apt
software-sources
debian
gnupg
James Mitch
fuente
fuente
Respuestas:
Hay varias preguntas que responderé individualmente:
¿Cómo descargar (y no instalar) un paquete binario individual?
apt-get
tiene una opción para descargar solo el paquete:Encontrará el paquete descargado en
/var/cache/apt/archives/
. En este caso, tendrá que agregar una nueva configuración de lista de fuentes a apt.¿Cómo descargar el paquete fuente individual?
o cuando conozca la ubicación del archivo .dsc:
Ambos enfoques verifican la firma en los archivos
¿Cómo anclar las fuentes.list, también conocido como cómo no estropeo mi instalación?
Ya ha señalado la página de descripción básica para APT Pinning , y solo agregaría que probablemente desee leer la página de manual de apt_preferences que también tiene buenos ejemplos para lograr las cosas que necesita. Consulte especialmente la sección 'Rastreo estable' en EJEMPLOS, ya que describe algo muy cercano a sus necesidades:
Hay un comando útil cuando se juega con múltiples fuentes y APT Pinning:
Esto muestra que la versión instalada es 1.1.3-1 ~ bpo60 + 1, y el candidato es 1.2.0 ~ rc3-1 ~ bpo60 + 1, que se instalará el próximo
apt-get upgrade
. También hay alguna versión anterior disponible desde otro repositorio.¿Cómo descargar la clave de archivo de Debian?
Clave del archivo de Debian se publica en ftp-master . Deberá importar la clave en su llavero gpg:
Luego deberá verificar sus firmas:
Y rastree las claves GPG individuales para los desarrolladores de Debian, ya sea rastreándolas manualmente o comprobando en el proyecto PGP Key Statistics . Y a menos que haya una cadena desde su clave PGP / GPG al archivo de claves Debian, tendrá que dar un salto de fe en algún momento.
Cómo descargar y verificar paquetes individuales a mano
Entonces, el otro enfoque es más complicado, porque los paquetes deb no están firmados individualmente, sino que solo el
Release
archivo está firmado. Por lo tanto, deberá descargar y verificar la firmaRelease
y losPackages
archivos junto con el paquete individual.Agregaré un ejemplo que será más claro.
Imagine que desea descargar el paquete Debian para Knot DNS desde su PPA oficial para Ubuntu preciso en la arquitectura amd64.
Tendrá que hacer clic en los directorios y encontrar estos archivos:
El siguiente paso sería verificar la firma en el
Release
archivo:Por supuesto, deberá verificar la clave de alguna otra manera (como la clave de mantenimiento de Debian / Ubuntu, verificarla desde el launchpad, etc., etc.)
Cuando haya verificado la firma correcta en el
Release
archivo, puede ir al siguiente paso: verificar el archivo de paquetes.Como puede ver, la firma se puede encontrar en el
Release
archivo firmado , por lo tanto, hemos verificado la integridad delPackages
archivo calculando y comparando su huella digital SHA-256.El último paso es similar. Necesita calcular y comparar la huella digital del paquete individual:
En este punto, hemos encadenado de forma segura el paquete al
Release
archivo firmado . Entonces, si cree en la firma delRelease
archivo, puede estar seguro de que el paquete se descargó intacto.Puede leer más en el artículo de APT seguro en Debian Wiki.
fuente
gpg
comando no debería necesitar privilegios de root? Se supone que es una herramienta administrativa.