Posted on
by

apt 0.6 之後,就會開始於下載時辨識檔案庫的簽署,若少了驗證公鑰或簽署不正確,那些前端工具(apt-get, aptitude 與 synaptic)就會狠狠的警告你一番,甚至不願讓你安裝。這樣的措施是好的,可以避免像是檔案伺服器遭到入侵,deb 檔案被置換成惡意程式,或是各伺服器間同步失敗的問題。

但最近你升級或安裝套件的時候,apt 會警告你缺了某些驗證金鑰,那是由於 2005 年那把鑰匙將在月底到期,所以已經改用新的金鑰簽署了。你需要做的是安裝 debian-archive-keyring 或者下達以下指令

wget http://ftp-master.debian.org/ziyi_key_2006.asc -O - | sudo apt-key add -

如果你想讓你自己的套件庫提供類似的認證。那麼只需要用 GPG 簽署 Release 檔案,然後把你的公開金鑰交給其他人就是了。詳見 apt-secure (8)。

當然這樣只是保護那些 md5 checksum 與 repository 的完整性,如果想確保單一的 deb 完整性, 你恐怕需要 debsigsdebsig-verify(Signing in dpkg)。很遺憾的,John Goerzen 所設計的 debsigs 需要認證的基礎架構,你需要各上游所提供的設定檔(policy files),太麻煩沒有人採用。所以你若裝了 debsig-verify,恐怕是無法裝上任何東西。:-/

另外一個機制是 dpkg-sig,一樣是利用 GPG 來對安裝檔作簽署,差別是這系統是將 deb 拆開,簽好,再組回 deb。相較之下至少還有少數幾個套件使用這樣的機制。:-|