• scorpio810
  • scorpio810
  • QElectroTech Team Manager, Developer, Packager
  • Offline

Topic: secure apt repository

Bonjour,

Apres des heures et des heures et quelques tubes d'aspirine =D  sur debarchiver pour que le référentiel signe les fichiers Release.gpg,
je ne suis arrivé a rien malgré avoir tripoté la conf... dans tout les sens,
rien à faire il ne veut rien signer ...en sortie.

Donc j'ai décidé de passer sur reprepro et l’expérience à été concluante
Il reste à éplucher la doc pour optimiser mes scripts .. pour pas rentrer chaque paquet a la mano,
rsync -e ssh -av --delete-after ........... vers le ftp de tuxfamily etcc .
mais voila le dépôt est sécurisé maintenant .
Pour vous ça change rien le repository est toujours au même endroit 

Debian wheezy
deb http://debian.qelectrotech.org/qet/debian/ stable main

Debian Sid
deb http://debian.qelectrotech.org/qet/debian/ unstable main

https://download.qelectrotech.org/qet/debian/

W: Erreur de GPG : https://download.qelectrotech.org unstable InRelease : Les signatures suivantes n'ont pas pu être vérifiées car la clé publique n'est pas disponible : NO_PUBKEY BC9F825E1D4FB6C1

pour ajouter la clé du dépôt 

$ gpg --keyserver pgpkeys.mit.edu --recv-key 1D4FB6C1
$ gpg -a --export 1D4FB6C1 | sudo apt-key add -

ou

wget -O- https://download.qelectrotech.org/qet/debian/Qelectrotech_Repository.asc | sudo apt-key add -

Edit:
humm apres des heures ou je ne tirai rien de rien de ce debarchiver pour chiffrer le dépôt et après avoir mis reprepro
maintenant il chiffre bien le référentiel ......  =(  nomicons/angry

couic ................................
Debug: Append to stable/main/binary-binary-i386/Packages
Debug: Read stable/main/binary-all/Packages
Message: Gzip merged Packages file stable/main/binary-i386/Packages
Debug: CMD: gzip stable/main/binary-i386/Packages -c > stable/main/binary-i386/Packages.gz
Debug: Gzip merged Packages file stable/main/binary-i386/Packages

Debug: Append to stable/main/binary-binary-amd64/Packages
Debug: Read stable/main/binary-all/Packages
Message: Gzip merged Packages file stable/main/binary-amd64/Packages
Debug: CMD: gzip stable/main/binary-amd64/Packages -c > stable/main/binary-amd64/Packages.gz
Debug: Gzip merged Packages file stable/main/binary-amd64/Packages

Debug: Create apt-ftparchive Release config for stable
Message: Generate Release file for stable
Debug: CMD: apt-ftparchive -c stable/.apt-ftparchive.conf release stable > Release
Debug: Generate Release file for stable

Message: Put Release file for stable in the right location
Debug: CMD: mv Release stable/Release
Debug: Put Release file for stable in the right location

Message: Sign Release file for stable with key '1D4FB6C1'
Debug: CMD: gpg -a -b -s -u 1D4FB6C1 -o stable/Release.gpg stable/Release

Une phrase de passe est nécessaire pour déverrouiller la clef secrète de
l'utilisateur : « QElectroTech (Unofficial Debian Repository) <scorpio@qelectrotech.org> »
clef DSA de 2048 bits, identifiant 1D4FB6C1, créée le 2013-06-07

Debug: Sign Release file for stable with key '1D4FB6C1'

Message: Remove lockfile /var/lib/debarchiver/dists/debarchiver.lock.
Debug: CMD: rm /var/lib/debarchiver/dists/debarchiver.lock
Debug: Remove lockfile /var/lib/debarchiver/dists/debarchiver.lock.
couic ...........................

"Le jour où tu découvres le Libre, tu sais que tu ne pourras jamais plus revenir en arrière..."

2 Reply by natdom (edited by natdom 2013-07-06 10:40:53)

Re: secure apt repository

Bonjour et merci Laurent mais après la commande de demande de clé je reçois le message d'erreur suivant :

gpg: demande de la clef 1D4FB6C1 sur le serveur hkp pgpkeys.mit.edu
?: serveur: Host not found
gpgkeys: HTTP fetch error 7: couldn't connect: No such file or directory
gpg: aucune donnée OpenPGP valable n'a été trouvée.
gpg: Quantité totale traitée : 0

je suis sous ubuntu 12.04 32bits et j'utilise ton dépot unstable

Cordialement, Dominique.

  • scorpio810
  • scorpio810
  • QElectroTech Team Manager, Developer, Packager
  • Offline

Re: secure apt repository

Bonjour Dominique,

Essaye avec ça 

sudo apt-key adv --recv-keys --keyserver pgpkeys.mit.edu 1D4FB6C1

J'ai testé sur l'ubuntu du dernier avec ces commandes ça fonctionne aussi 

$ gpg --keyserver pgpkeys.mit.edu --recv-key 1D4FB6C1
$ gpg -a --export 1D4FB6C1 | sudo apt-key add -

possible que le serveur de clé etait down ou que ton firewall bloque le port hkp (11371/tcp)

http://doc.ubuntu-fr.org/apt-key

Cordialement, Laurent

"Le jour où tu découvres le Libre, tu sais que tu ne pourras jamais plus revenir en arrière..."
  • scorpio810
  • scorpio810
  • QElectroTech Team Manager, Developer, Packager
  • Offline

Re: secure apt repository

Dominique,  j'ai ajouté la clé publique à la racine du dépôt normalement ça devrait fonctionner chez toi,
avec cette méthode. 

wget -O- https://download.qelectrotech.org/qet/debian/Qelectrotech_Repository.asc | sudo apt-key add -

on vérifie par la commande

sudo apt-key list

La clé doit y figuré.

"Le jour où tu découvres le Libre, tu sais que tu ne pourras jamais plus revenir en arrière..."

Re: secure apt repository

Merci Laurent, c'est passé nickel nomicons/smile

  • scorpio810
  • scorpio810
  • QElectroTech Team Manager, Developer, Packager
  • Offline

Re: secure apt repository

Ok, merci du retour Dominique nomicons/smile

"Le jour où tu découvres le Libre, tu sais que tu ne pourras jamais plus revenir en arrière..."