Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren

To: debian-user-german@lists.debian.org
Subject: Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren
From: Daniel Leidert <daniel.leidert.spam@gmx.net>
Date: Sun, 18 Jun 2006 13:38:11 +0200
Message-id: <[🔎] 1150630691.9270.9.camel@localhost>
In-reply-to: <[🔎] 200606181339.17499.1977-Hamlet@gmx.at>
References: <[🔎] 200606181158.08539.1977-Hamlet@gmx.at> <[🔎] 1150625173.6555.12.camel@localhost> <[🔎] 200606181339.17499.1977-Hamlet@gmx.at>

Am Sonntag, den 18.06.2006, 13:39 +0200 schrieb Mag. Leonhard Landrock:
> Am Sonntag, 18. Juni 2006 12:06 schrieb Daniel Leidert:
> > Am Sonntag, den 18.06.2006, 11:58 +0200 schrieb Mag. Leonhard Landrock:
> 
> [...]
> 
> > Man kann mich auch direkt anschreiben.
> 
> Habe ich heute wegen des debarchiver HOWTO auch schon gemacht. ;-)

Habe ich auch schon gelesen. Eine Antwort folgt in den nä. Tagen.

> [...]
> 
> > > Ich erhalte aber:
> > > -------------------------
> > >
> > > debarchiver@veneto:~$ echo -n "" | gpg
> > > gpg: fatal: Verzeichnis `/var/lib/debarchiver/.gnupg' kann nicht erzeugt
> >
> >                            ^^^^^^^^^^^^^^^^^^^^^
> >
> > Das Verzeichnis gehört Root.
> 
> Ja, habe ich selbst auch festgestellt.
> 
> > > werden: Keine Berechtigung
> 
> Ich selbst habe einfach von einer root shell "chmod a+rw /var/lib/debarchiver" 
> aufgerufen. Danach habe ich die gpg-Schlüssel erzeugt. Zum Abschluss habe ich 
> mit "chmod go-w /var/lib/debarchiver" die Berechtigungen wieder zurück 
> gesetzt.
> 
> > Und dann ist das die logische Konsequenz. Ich werde es mal mit ins Howto
> > aufnehmen.
> 
> Das ist eine gute Idee.

Ja, allerdings nicht deinen Weg. Ich denke es ist sauberer die beiden
ersten genannten Alternativen zu nutzen, wobei bei der zweiten auch der
Gruppe debarchiver Schreibrechte gegeben werden sollten.

> [...]
> 
> > Ich empfehle
> > http://debian.wgdd.de/howto/howto-aptrep#procedure_dscverify_debarchiver_ho
> >me. Wenn du das nicht willst, werde Root und vergib die Besitzrechte für
> > /var/lib/debarchiver an den Nutzer und die Gruppe debarchiver. Oder
> > erstelle das Verzeichnis .gnupg als Root und ordne es dann debarchiver zu.
> 
> OK.
> 
> Also mache ich folgendes:
> 
> veneto:~# mkdir -pv /home/debarchiver
> mkdir: Verzeichnis »/home/debarchiver« angelegt
> veneto:~# chown -v debarchiver.debarchiver /home/debarchiver
> Eigentümer von »/home/debarchiver« in debarchiver:debarchiver geändert
> veneto:~# usermod -d /home/debarchiver debarchiver
> veneto:~# mv -v /var/lib/debarchiver/.gnupg/ /home/debarchiver/
> »/var/lib/debarchiver/.gnupg/« -> »/home/debarchiver/.gnupg«
> 
> Den letzten Schritt halte ich für erforderlich, da ja folgendes 
> in "/etc/debarchiver.conf" eingetragen ist.
> 
> # File to provide password to GnuPG.
> # If you use a key with an empty passphrase, set this variable to 0 or "".
> # If the file does not exist, debarchiver will also fall back to "".
> $gpgpassfile = "$ENV{HOME}/.gnupg/passphrase";

Ist ja auch richtig.

> Frage: Muss ich jetzt noch etwas anderes ändern?

Nein. Nur den Hinweis unter 3.4. nach der Prozedurbeschreibung beachten.

> > Die erste Alternative macht in den im Howto beschriebenen Szenarien
> > Sinn. Die 2. Alternative macht (zusätzlich) Sinn, wenn du im
> > Verzeichnis /var/lib/debarchiver noch andere Dateien ablegen willst
> > (z.B. das parse-apt-files.inc Skript mit diversen HTML/PHP-Seiten). Bei
> > der letzten Alternative bin ich mir nicht sicher, wie gut diese
> > funktioniert.
> >
> > MfG Daniel
> 
> Zum Abschluss habe ich noch eine Frage zur "/etc/debarchiver.conf" Datei. 
> Derzeit enthält sie folgende Einträge:
> 
> "# Choose to enable or disable signature verification for packages uploaded
> # into $inputdir (not %distinputdirs).
> # $verifysignatures = 0;
> 
> # Choose to enable or disable signature verification for packages uploaded
> # into %distinputdirs. This works indepentently from $verifysignatures.
> $verifysignaturesdistinput = 1;"
> 
> Ist das so korrekt, wenn ich "nur" mein Debian-Depot (die Verzeichnisstruktur 
> unterhalb von "/var/lib/debarchiver/dists/") signiert haben will?

Nein. Die Optionen behandeln die Signaturprüfung eingehender Pakete! Zum
Signieren des Repositoriums sind nur $gpgkey und evtl. $gpgpassfile
notwendig (http://debian.wgdd.de/howto/howto-aptrep#config_gpgkey). Die
beiden Optionen, die du nennst definieren, ob die Pakete
in /var/lib/debarchiver/incoming
(http://debian.wgdd.de/howto/howto-aptrep#config_verifysignatures)
und /var/lib/debarchiver/incoming/{unstable,testing,stable,...}
(http://debian.wgdd.de/howto/howto-aptrep#config_verifysignaturesdistinput) auf eine gültige Signatur überprüft werden sollen. Dazu wird ein Schlüsselring aller Uploader angelegt. Dann werden die eingegangenen Pakete überprüft. Liegt der Schlüssel des Paketsignierers im Schlüsselring, wird das Paket akzeptiert, ist das Paket unsigniert oder der Schlüssel unbekannt, wird das Paket abgelehnt.

MfG Daniel

Reply to:

Follow-Ups:
- Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren
  - From: "Mag. Leonhard Landrock" <1977-Hamlet@gmx.at>

References:
- Mit debarchiver erstelltes Debian-Depot (repository) signieren
  - From: "Mag. Leonhard Landrock" <1977-Hamlet@gmx.at>
- Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren
  - From: Daniel Leidert <daniel.leidert.spam@gmx.net>
- Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren
  - From: "Mag. Leonhard Landrock" <1977-Hamlet@gmx.at>

Prev by Date: debarchiver - Error: Lockfile exists in distribution directory, skipping.
Next by Date: Re: debarchiver - Error: Lockfile exists in distribution directory, skipping.
Previous by thread: Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren
Next by thread: Re: Mit debarchiver erstelltes Debian-Depot (repository) signieren
Index(es):
- Date
- Thread