我需要 Debian 的特定(源或二进制)包。
我可以使用 apt-get 下载软件包吗?
我如何将 Debian 存储库添加到我的 sources.list 中,以便仅根据具体情况使用?而不会因为使用整个 Debian 存储库而弄乱我的系统?
如何获取 Debian 存储库的 gpg 密钥以确保该软件包已由 Debian 档案库签名?
(请不要告诉我系统可能会崩溃。我知道这一点但并不在意,因为我可以轻松恢复 VM 快照。)
答案1
有几个问题我将分别回答:
如何下载(而不是安装)单独的二进制包?
apt-get
有一个选项可以仅下载包:
-d Download only - do NOT install or unpack archives
您将在 中找到下载的软件包/var/cache/apt/archives/
。在这种情况下,您必须向 apt 添加新的源列表配置。
如何下载单独的源包?
apt-get source <package>
或者当您知道 .dsc 文件的位置时:
dget http://http.debian.net/debian/pool/main/k/knot/knot_1.2.0~rc3-1.dsc
两种方法都会验证文件上的签名
如何固定 sources.list,又或者如何不弄乱我的安装?
您已指向基本描述页面APT 固定,我只想补充一点,你可能想读一下apt_preferences手册页中也有很好的例子来完成你需要的事情。特别是参见示例中的“跟踪稳定”部分,因为它描述了一些非常接近你的需求的东西:
在使用多个源和 APT Pinning 时,有一个有用的命令:
# apt-cache policy knot
knot:
Installed: 1.1.3-1~bpo60+1
Candidate: 1.2.0~rc3-1~bpo60+1
Version table:
1.2.0~rc3-1~bpo60+1 0
500 http://deb.knot-dns.cz/debian/ squeeze/main amd64 Packages
*** 1.1.3-1~bpo60+1 0
100 /var/lib/dpkg/status
1.0.5-1~bpo60+1 0
500 http://ppa.sury.org/debian/ squeeze/main amd64 Packages
这表明已安装的版本是 1.1.3-1~bpo60+1,候选版本是 1.2.0~rc3-1~bpo60+1,将在下次安装apt-get upgrade
。此外,另一个存储库中还有一些较旧的版本可用。
如何下载 Debian 档案密钥?
Debian 档案密钥发布于ftp 主站。您需要将密钥导入到您的 gpg 密钥环中:
$ gpg --import archive-key-6.0.asc
gpg: key 473041FA: public key "Debian Archive Automatic Signing Key (6.0/squeeze) <[email protected]>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 9 signed: 31 trust: 0-, 0q, 0n, 0m, 0f, 9u
gpg: depth: 1 valid: 31 signed: 38 trust: 25-, 0q, 0n, 1m, 5f, 0u
gpg: depth: 2 valid: 21 signed: 31 trust: 19-, 0q, 0n, 0m, 2f, 0u
gpg: depth: 3 valid: 3 signed: 12 trust: 2-, 0q, 0n, 0m, 1f, 0u
gpg: depth: 4 valid: 1 signed: 8 trust: 1-, 0q, 0n, 0m, 0f, 0u
gpg: next trustdb check due at 2013-09-22
然后你必须检查它的签名:
$ gpg --list-sig 473041FA
pub 4096R/473041FA 2010-08-27 [expires: 2018-03-05]
uid Debian Archive Automatic Signing Key (6.0/squeeze) <[email protected]>
sig 3 473041FA 2010-08-27 Debian Archive Automatic Signing Key (6.0/squeeze) <[email protected]>
sig 7E7B8AC9 2010-08-27 Joerg Jaspert <[email protected]>
sig P B12525C4 2010-08-27 [User ID not found]
sig D0EC0723 2010-08-27 [User ID not found]
sig 8AEA8FEE 2010-08-27 [User ID not found]
sig A3AE44A4 2010-08-28 [User ID not found]
sig 00D8CD16 2010-08-28 Alexander Reichle-Schmehl <[email protected]>
sig CD15A883 2010-08-28 [User ID not found]
sig 672C8B12 2010-08-28 [User ID not found]
sig 2 C4CF8EC3 2010-08-28 [User ID not found]
sig 2 D628A5CA 2010-08-28 [User ID not found]
并通过手动跟踪或 fe 检查来跟踪 Debian 开发人员的个人 GPG 密钥PGP 关键统计数据项目。除非您的 PGP/GPG 密钥与 Debian 密钥档案之间存在一条链,否则您将不得不在某个时间点做出信心的飞跃。
如何手动下载和验证单个软件包
因此,另一种方法更复杂,因为 deb 包不是单独签名的,而是只对文件Release
进行签名。因此,您需要下载并验证单个包Release
和文件上的签名。Packages
我将添加一个更清楚的例子。
假设你想下载 Debian 软件包结点DNS从这是官方的 PPA适用于 amd64 架构上的 Ubuntu。
您必须单击目录并找到以下文件:
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/dists/precise/Release
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/dists/precise/Release.gpg
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/dists/precise/main/binary-amd64/Packages
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/pool/main/k/knot/knot_1.2.0~rc3-1~precise+1_amd64.deb
下一步是验证Release
文件上的签名:
$ gpg --verify Release.gpg Release
gpg: Signature made Fri 01 Mar 2013 07:14:38 PM CET using RSA key ID F9C59A45
gpg: Good signature from "Launchpad Datové schránky"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 5246 3488 670E 69A0 9200 7C24 F233 1238 F9C5 9A45
当然,您需要通过其他方式来验证密钥(例如 Debian/Ubuntu 维护者密钥、从启动板检查等等......)
当您验证了文件上的正确签名后,Release
您可以进入下一步——验证包文件。
sha256sum Packages
c96a524398cf6e9db033c8299974fe324eba47cc8190efec6495c74e251330ad Packages
$ grep c96a524398cf6e9db033c8299974fe324eba47cc8190efec6495c74e251330ad Release
c96a524398cf6e9db033c8299974fe324eba47cc8190efec6495c74e251330ad 3379 main/binary-amd64/Packages
可以看到,在签名文件中找到签名,因此我们通过计算和比较其SHA-256指纹来Release
验证文件的完整性。Packages
最后一步类似。您需要计算并比较单个包的指纹:
$ sha1sum knot_1.2.0~rc3-1~precise+1_amd64.deb
8b34078e9bfef7aa818b2f926a28838b0ede9f43 knot_1.2.0~rc3-1~precise+1_amd64.deb
$ grep -A 13 "Package: knot$" Packages | grep "^SHA1: "
SHA1: 8b34078e9bfef7aa818b2f926a28838b0ede9f43
此时,我们已将软件包安全地链接到签名Release
文件。因此,如果您相信文件上的签名Release
,则可以确保软件包已完整下载。
您可以在安全 APTDebian Wiki 上的文章。