HOWTO: lokales repository und etch (wegen Secure-apt) ?

Hi,

seit etch ging mein lokales repository (in dem eine "rotate180"-gepatche Variante des graphtft-Plugin liegt) nicht mehr und somit war auch das graphtft-plugun nicht mehr gepinnt und wurde bei einen Update überschrieben. So ganz klar war mir der Grund bisher nicht, aber jetzt habe ich eine Lösung.

Apt-secure braucht eine "release.gpg"-Datei im repository.

Diese kann man sich folgendermaßen erzeugen:

In das Repository-Verzeichnis wechseln und dort erstmal eine unverschlüsselte release-Datei erzeugen und mit sinnvollen Werten füllen:

Archive: archive
Component: component
Origin: YourCompany
Label: YourCompany Debian repository
Architecture: architecture

Anschließend folgende befehle ausführen

Schlüssel erzeugen:

gpg --gen-key

und Datei verschlüsseln

gpg -abs -o Release.gpg Release

Anschließend muss der Key noch exportiert werden:

gpg --armor --output archiv_schluessel.gpg --export Schlüssel-ID

Die Schlüssel-ID bekommt man durch folgendermaßen angeteigt (am Beispiel von Tobias Key):

gpg --list-keys 
pub   2048R/306B6783 2004-03-18
uid                  Tobias Grimm <tobias@e-tobi.net>
uid                  Tobias Grimm <vdr@e-tobi.net>
uid                  Tobias Grimm <tobias.grimm@e-tobi.net>

Die ID ist dann 306B6783.

Anschließend muss der Key zu apt hinzugefügt werden:

apt-key add archiv_schluessel.gpg

Lesenwert dazu ist auch: http://wiki.debian.org/SecureA…51c6dade6185aa9a6823a824f

Viel Erfolg

Und der ganze Mist geht dann natürlich dennoch nicht. In der Release.gpg erwartet secure-apt die MD5Sums der gesammten Pakete des Repositry. Die (simple in scanpackages) erzeuget Packages.gz wird anscheinend so direkt nicht verwendet. Ich hab auch noch keine Lösung gefunden...

RepoRepo ist mir eigentlich viel zu fett und aufwendig. Das will ja nen "pool" anlegen. Ist also eher zum Mirrorn von Cds oder so gedacht.

Ich hab dagegen bisher ein simples Verzeichnis mit zwei Unterverzeichnissen "binary" und "source" benutzt, da dann enstprechend ei kompilierten Packete und Sources reingeschoben, scanpackges ausgeführt und gut war es.

Das geht mit secure-apt nun nicht mehr so simpel

Ich hätte auch nichts gegen ein kleines Skript einzuwenden, das mir die Dateien für das lokale repository automatisch updatet. Hab ich ja im pinziep auch jetzt schon genutzt.

#!/bin/sh
dpkg-scanpackages binary /dev/null | gzip -9c > binary/Packages.gz
dpkg-scansources source /dev/null | gzip -9c > source/Sources.gz

Naja, eigentlich ist der ganze Secure-Apt-krams bei einem lokalen, selbst angelgeten repository sowieso unsinnig (was soll das denn absichern). Eigentlich könnte man das dafür auch abschalten, aber soweit ich gelesen hab, kann man das wenn nur global abschalten.

So, ich hab mich nun ne Weile mit apt-ftparchive rumgeschlagen. Prinzipiell müsste es jetzt auch funktionieren, tut es aber nicht. Die signierung klappt, aber Apt meckert:

Unable to find expected entry  Packages in Meta-index file (malformed Release file?)

So, Secure-Apt braucht inzwischen scheinbar ein korrekt beschrieben Release-Datei mit einigen Details. Und man darf die erzeugte "Packages"-Datei scheinbar nicht mehr einfach mit gzip komprimieren (dann findet er sie nicht mehr).

Hier mein nun endlich funktionierendes kleines Scipt. Dateien liegen im Unterverzeichnis binary.

## Dateien löschen
rm binary/Release.gpg
rm binary/Release


## Packages-Datei erzeugen
#apt-ftparchive packages binary/ | gzip -9c > binary/Packages.gz
apt-ftparchive packages binary/ > binary/Packages  # gzip-komprimiert klappt nicht mit etch


## Repository-Beschreibung erzeugen. Wichtig für Apt in etch sind Suite und
## Codename.
echo "Origin: Meiner_Einer
Label: My local VDR repository
Suite: stable
Codename: binary
Architecture: i386
Components:
Description: My local self made VDR repository " > binary/Release.tmp


## Hash anhängen...
apt-ftparchive release binary/ >> binary/Release.tmp


## Erzeugen eine "tmp-Datei", damit die nacher nicht der MD5-Hash in der 
## Release-Datei von der frisch erzeugten und noch bearbeiteten Datei auftauchen.
## Umbenennen der Datei.
mv binary/Release.tmp binary/Release


## Datei mit gpg signieren.
gpg --sign -ba -o binary/Release.gpg binary/Release

Das war garnicht mal so simpel rauszufinden..