Saya perlu paket (sumber atau biner) khusus dari Debian.
Bisakah saya mengunduh paket menggunakan apt-get?
Bagaimana saya bisa menambahkan repositori Debian ke sources.list saya sehingga hanya digunakan pada basis per kasus? Tanpa mengacaukan sistem saya dengan menggunakan seluruh repositori Debian?
Bagaimana saya bisa mendapatkan kunci gpg untuk repositori Debian untuk memastikan paket itu ditandatangani oleh arsip Debian?
(Tolong jangan katakan padaku, bahwa sistem mungkin rusak. Saya sadar akan hal itu dan tidak peduli, karena saya dapat dengan mudah mengembalikan snapshot VM.)
apt
software-sources
debian
gnupg
James Mitch
sumber
sumber
Jawaban:
Ada beberapa pertanyaan yang akan saya jawab secara individual:
Bagaimana cara mengunduh (dan tidak menginstal) paket biner individual?
apt-get
memiliki opsi untuk hanya mengunduh paket:Anda akan menemukan paket yang diunduh di
/var/cache/apt/archives/
. Dalam hal ini Anda harus menambahkan konfigurasi daftar sumber baru ke apt.Bagaimana cara mengunduh paket sumber individual?
atau ketika Anda mengetahui lokasi file .dsc:
Kedua pendekatan itu memverifikasi tanda tangan pada file
Bagaimana cara menyematkan sources.list alias bagaimana saya tidak mengacaukan instalasi saya?
Anda telah menunjuk ke halaman deskripsi dasar untuk Pinning APT , dan saya hanya akan menambahkan bahwa Anda mungkin ingin membaca manual apt_preferences yang juga memiliki contoh bagus untuk mencapai hal-hal yang Anda butuhkan. Terutama lihat bagian 'Melacak Stabil' di CONTOH, karena ini menjelaskan sesuatu yang sangat dekat dengan kebutuhan Anda:
Ada perintah yang berguna saat bermain dengan banyak sumber dan Pinning APT:
Ini menunjukkan bahwa versi yang terinstal adalah 1.1.3-1 ~ bpo60 +1, dan kandidat adalah 1.2.0 ~ rc3-1 ~ bpo60 +1, yang akan diinstal berikutnya
apt-get upgrade
. Juga ada beberapa versi lama yang tersedia dari repositori lain.Bagaimana cara mengunduh kunci arsip Debian?
Kunci arsip Debian diterbitkan di ftp-master . Anda harus mengimpor kunci ke dalam gpg keyring Anda:
Maka Anda harus memeriksa tandatangannya:
Dan lacak masing-masing kunci GPG ke pengembang Debian dengan melacaknya secara manual, atau memeriksa di proyek Statistik Kunci PGP . Dan kecuali ada rantai dari kunci PGP / GPG Anda ke arsip kunci Debian, Anda harus membuat lompatan keyakinan di beberapa titik waktu.
Cara mengunduh dan memverifikasi masing-masing paket dengan tangan
Jadi pendekatan lain lebih rumit, karena paket deb tidak ditandatangani secara individual, tetapi hanya
Release
file yang ditandatangani. Dengan demikian Anda perlu mengunduh dan memverifikasi tanda tanganRelease
danPackages
file bersama dengan paket individual.Saya akan menambahkan contoh yang akan lebih jelas.
Bayangkan Anda ingin mengunduh paket Debian untuk Knot DNS dari PPA resmi untuk Ubuntu tepatnya pada arsitektur amd64.
Anda harus mengklik direktori dan menemukan file-file ini:
Langkah selanjutnya adalah memverifikasi tanda tangan pada
Release
file:Tentu saja Anda harus memverifikasi kunci dengan beberapa cara lain (seperti kunci pengelola Debian / Ubuntu, memeriksanya dari launchpad, dll, dll ...)
Setelah memverifikasi tanda tangan yang benar pada
Release
file, Anda dapat melanjutkan ke langkah berikutnya - memverifikasi file Paket.Seperti yang Anda lihat, tanda tangannya dapat ditemukan dalam
Release
file yang ditandatangani , sehingga kami telah memverifikasi integritasPackages
file dengan menghitung dan membandingkan sidik jari SHA-256-nya.Langkah terakhir serupa. Anda perlu menghitung dan membandingkan sidik jari dari paket individual:
Pada titik ini kami telah merantai paket dengan aman ke
Release
file yang ditandatangani . Jadi, jika Anda yakin tanda tangan padaRelease
file, Anda dapat yakin bahwa paket itu diunduh utuh.Anda dapat membaca lebih lanjut di artikel Secure APT di Debian Wiki.
sumber
gpg
perintah itu tidak memerlukan root privilege? Itu seharusnya menjadi alat administrasi.