我为 Ubuntu DEB 软件包提供了一个自己的下载存储库。它带有一个目录结构https://mydomain.tld/download/Ubuntu/dists/bionic/main/binary-amd64/
该目录包含 DEB 档案以及通过调用创建的 Packages.gz
dpkg-scanpackages dists/bionic/main/binary-amd64/ /dev/null|gzip -9c >dists/bionic/main/binary-amd64/Packages.gz
所有软件包本身都已签名
dpkg-sig --sign builder mypackage.deb
Packages.gz 的签名和创建工作正常。尽管软件包并不真正安全且未经验证,但 DEB 软件包中的签名与下载之间的链接缺失。
所以我的问题是:我必须做什么(在服务器端?)才能不仅拥有签名的软件包,而且还能为通过“apt-get”或“synapic”安装软件包的用户提供验证,证明这些软件包是原创的并且没有被第三方更改?
谢谢!
答案1
您可以提供一个注册密钥的 shell 脚本。请参阅http://rpms.litespeedtech.com/debian例如 enable_lst_debain_repo.sh