Apt-zip: aggiornamenti senza una connessione veloce: differenze tra le versioni

m
→‎La struttura delle Directory: aggiornati repos marillat
mNessun oggetto della modifica
m (→‎La struttura delle Directory: aggiornati repos marillat)
Riga 1: Riga 1:
{{stub}}
==Introduzione==
==Introduzione==
Ho deciso di fare questa guida poich ho avuto molta difficolt a creare una connessione remota sicura fra una macchina Windows ed una Linux in una LAN (o in una WAN) in quanto la maggior parte delle guide, degli How-To e delle FAQ che ho trovato in Internet esamina tale connessione fra due macchine Linux.


Qualche volta ci troviamo nella situazione di dover aggiornare una macchina con una connessione internet lenta...
La connessione remota sicura, che esaminero`, e` una connessione che usa il protocollo [http://it.wikipedia.org/wiki/Ssh SSH (Secure SHell)] e, perci�, � detta '''connessione SSH''' la quale si basa sulla [http://it.wikipedia.org/wiki/Crittografia_asimmetrica criptografia asimetrica] detta anche '''criptografia a coppia di chiavi''' o, piu` semplicemente, '''a chiave pubblica/privata''' (o, semplicemente, '''a chiave pubblica''') che consiste nella generazione di una coppia di chiavi (chiamate [http://it.wikipedia.org/wiki/Chiave_privata chiave privata] e [http://it.wikipedia.org/wiki/Chiave_pubblica chiave pubblica]). In pratica, la '''chiave pubblica''' codifica la communicazione mentre la '''chiave privata''' decodifica tale comunicazione e vengono generate usando degli algoritmi asimetrici che sono [http://it.wikipedia.org/wiki/RSA RSA] e [http://en.wikipedia.org/wiki/Digital_Signature_Algorithm DSA] e le connessioni che usano tali coppie di chiavi prodotte da questi algoritmi asimetrici sono dette '''connessioni SSH'''. Tali algoritmi, per�, servono soltanto per instaurare una connessione criptata fra il client SSH e il server SSH in quanto, per il trasferimento vero e proprio dei dati, si usano degli algoritmi simmetrici, come AES o 3DES, che sono molto pi� efficenti per questo scopo ovvero per cifrare la comunicazione. Quindi:
Alcune volte viene suggerito [[Debmirror: creiamo un mirror Debian | Debmirror]] (soluzione che reputo sovradimensionata e dispendiosa), altre viene suggerito il download del primo DVD o dei primi 2-3 CD di Sarge (ma per quanto riguarda sid, non esiste niente del genere)...
Cos� ho pensato di organizzare qualche appunto che avevo su apt-zip, un comodo tool che ci viene in aiuto proprio in questi casi!
Vedremo come utilizzarlo su computer connessi ad internet con una connessione lenta...


==Installazione==
Una '''connessione SSH''' � una connessione cifrata che utilizza gli algoritmi asimetrici RSA o DSA soltanto per verificare se una chiave pubblica, memorizzata sul Server, derivi da una chiave privata salvata sul Client (in modo da garantire la reciproca autenticita` del Server e del Client) in modo da essere utilizzata, per l'intera sessione, per la cifratura simmetrica con algoritmi come AES o 3DES.


L'installazione � semplicissima:
==Scelta del software==
<pre>
# apt-get install apt-zip
</pre>


Ora, dopo aver fatto questa introduzione per chiarire i termini che user in seguito, spiegher, in pratica, come si crea una connessione SSH da Windows a Linux. Per far ci, occorre scegliere un server-software SSH sulla macchina Linux (che funge dal Server) ed un client-software SSH su una macchina Windows (che funge da Client). Ora, per scegliere un server-software SSH per Linux, non esiste alcun problema in quanto la communit Open Source ha creato un ottimo prodotto che, ormai, tutte le distribuzione lo installano come default. Questo prodotto il software [http://www.openssh.com/ OpenSSH Server]. Ora, siccome Windows (in tutte le sue edizione per il Desktop) non ha nessun client-software SSH, occorre cercarne uno. Il pi semplice client SSH con licenza certificata Open Source [http://www.chiark.greenend.org.uk/~sgtatham/putty/ PuTTY] ma, chi volesse usare soprattutto la Shell di Linux ed avere qualche comodit in pi sullo stile di Windows, dovr valutare programmi commerciali come [http://www.vandyke.com/products/securecrt/ SecureCRT] o [http://www.ssh.com/products/tectia/client/ SSH Tectia Client] che, per fortuna, si possono prelevare le versioni di valutazione completamente funzionanti prima dell'acquisto.


==Configurazione==
{{Box | Nota |I client SSH permettono soltanto di accedere alla Shell di Linux per poter eseguire comandi su un terminale a caratteri di questo sistema operativo. Per poter accedere anche al suo server grafico [http://it.wikipedia.org/wiki/X_Window_System X Window System] o '''X11''' o soltanto '''X''' (e, quindi, per poter controllare i vari ambienti grafici ed i programmi di X), occorre anche un [http://it.wikipedia.org/wiki/VNC client/server VNC]. Ora, niente paura in quanto, grazie alla funzionalit� [http://en.wikipedia.org/wiki/Tunneling_protocol Tunneling] di questi tre client SSH, � possibile controlare anche X sempre in modo sicuro.}}


Il file di configurazione � '''/etc/apt/apt-zip.conf''' e contiene alcuni valori di defalut utilizzati dai due comandi di apt-zip.
==Configurazione dell'OpenSSH Server==
Ecco quello di default:
<pre>
# Configuration file for apt-zip.
# This is a /bin/sh code snippet.


# METHOD is taken from /usr/share/apt-zip/.
Una volta installato l'OpenSSH Server sulla macchina Linux, occorre configurarlo per scegliere il modo di authentificazione che volete che le macchine Client usano per accedere a questa macchina Linux.
METHOD=wget


# MEDIUM should be defined in /etc/fstab with option `noauto'.
Le varie autentificazione che OpenSSH Server pu� offrire sono:
MEDIUM=/ZIP


# OPTIONS is a comma-separated list of options.
#Autentificazione tramite '''password'''
# Possible options include: tar[=posixtarprogram], gnutar[=gnutarprogram],
#Autentificazione '''ChallengeResponseAuthentication''' o '''Keyboard-Interactive'''
# solaristar[=solaristarprogram], restart
#Autentificazione '''a chiave pubblica'''
# Examples:
#Autentifiazione '''GSSAPI'''
# OPTIONS=tar=gtar
# OPTIONS=solaristar,restart
# OPTIONS="gnutar, restart=1"
# Recommended for a Solaris download host when possible:
# OPTIONS=solaristar,gnutar=gtar,restart
OPTIONS=


# DEFAULT_APTGETACTION is the action taken by apt-get when neither
'''L'autentificazione tramite password''' utilizza la Username e la Password dell'utente (le stesse usate per l'autentificazione in locale) per verificare se l'utente � autorizzato ad accedere da remoto alla macchina Linux.
# the --aptgetaction nor the --packages options are given.
# Possible actions include: dselect-upgrade(default), upgrade and dist-upgrade
DEFAULT_APTGETACTION=dselect-upgrade


# The regexp applied to filter (with grep) the files to download.
'''L'autentificazione ChallengeResponseAuthentication o Keyboard-Interactive''' utilizza una serie di autentificazioni caratterizzate da richieste, fatte dal server SSH, che devono essere confermate dalle risposte mandate dal client SSH. Se le risposte coincidono a quelle memorizzate sul Server, l'utente � autorizzato ad accedere da remoto alla macchina Linux altrimenti questi non pu� entrare in tale macchina Linux.
# Examples:
# GREP=^http\|^ftp
# GREP="-v ^cdrom\|^file"
GREP="^http\|^ftp"
</pre>


'''L'autentificazione a chiave pubblica''' verifica se la chiavi pubblica, memorizzata sul Server, '''derivi''' dalla chiave privata memorizzata sul Client dell'utente. Se tale verifica ha esito positivo, l'utente pu accedere alla macchina Linux altrimetri no. Siccome la chiave privata praticamente un file, che autorizza chiunque entra in possesso ad entrare in un Server SSH, consigliabile protteggerla con una '''passphrase''' che, in sostanza, una password che occorre inserirla ogni volta (o quasi) che si effettua una connessione verso tale Server SSH.


Le direttive che ci interessano sono due:
'''L'autentifiazione GSSAPI''', basata su un'API generica, implementata su vari sistemi operativi, utilizza un determinato protocollo, che, normalmente, � Kerberos 5, per trasferire i dati per l'autentificazione.
'''MEDIUM''' e '''DEFAULT_APTGETACTION'''


'''MEDIUM''' indica il path della periferica removibile che verr� utilizzata (io l'ho modificata in /mnt/pen, il mountpoint della mia pennina usb);<br/>
Le auttentificazioni pi� comode ed usate in una rete LAN (ma non solo) sono l''''autentificazione tramite password''' e l''''autentificazione a chiave pubblica'''. Quindi, la mia attenzione andr� soprattutto su queste due autentificazioni in quanto sono, forse, le pi� semplici da essere implementate.
'''DEFAULT_APTGETACTION''' l'azione di default da apt-get (a meno che non sia indicata una lista di pacchetti od un'altra azione), quella di default esegue un aggiornamento tramite dselect.


Normalmente solo '''MEDIUM''' viene modificato, in quanto le opzioni di default sono pi� che corrette per qualsiasi utilizzo.
Il file di configurazione di OpenSSH Server si chiama ''sshd_config'' che, normalmente, si trova nella directory ''/etc/ssh''.


==Preparazione del Sistema==
Questo file � un file di testo composto da '''direttive''' (dette '''Keywords'''), che sono '''case-insensitive''', e da '''valori''', che sono '''case-sensitive'''. Quindi, per editarlo, basta un semplice editor di testo come '''vi''' o '''Emacs''' che avete gi� nella vostra distribuzione.


Ora, prima di passare all'analisi del programma ed al suo utilizzo, prepariamo il sistema per usare apt-zip.
Quindi, attiviamo, in forma base, le autentificazioni tramite password e a chiave pubblica e disattiviamo le altre per evitare conflitti ed accessi non desiderati a causa di eventuali bachi.
Normalmente � necessario un disco removibile (penna usb, disco usb, uno ZIP o altro) ma � possibile, con alcuni accorgimenti, esportare i due file creati da apt-zip tramite un floppy od una mail, e poi creare in un'altra sede un cd od un dvd con i pacchetti scaricati.


===Supporto Removibile===
Perci�, verichiamo, da root, che, nel file ''/etc/ssh/sshd_config'', ci siano le seguenti keyword ed i corrispettivi valori; se si dovessero trovare delle keyword mancanti o dei valori che non corrispodessero a quei sotto-ennunciati, modificate semplicemente il testo stando attenti a non fare incominciare le keyword con il simbolo #:
Nel caso si disponga di un supporto removibile � consigliato modificare il file /etc/fstab aggiungendo la seguente riga (riferita al dispositivo):
<pre>
mountpoint device filesystem options 0 0
</pre>


per esempio (nel caso di una penna usb)
*''Port <Numero porta d'ascolto'' Questa keyword indica la porta d'ascolto dell'OpenSSH Server. Conviene cambiare la porta
<pre>
                                  d'ascolto di default per evitare, fin da subito, degli attacchi esterni e mettere un numero
/mnt/pen /dev/sda1 vfat rw,users,umask=000,quiet 0 0
                                  superiore a 1024 che non sia gi� usato da altri servizi locali o di Internet (per sapere le porte
</pre>
                                  Internet di default usate dai comuni servizi Internet, andate [http://www.iana.org/assignments/port-numbers qui]). Si deve ricordare, dopo aver scelto tale porta, di "dire" al vostro fireware
                                  aprire in entrata tale porta per fare in modo che i vostri utenti remoti possono acceedere alla
                                  vostra macchina Linux.




per le opzioni ed i filesystem disponibili, invito a leggere la documentazione visualizzata dal comando
----
<pre>
$ man mount
</pre>


Inoltre, se non presente nel sistema, � necessario creare la directory indicata nel mountpoint (nell'esempio precedente /mnt/pen ).
--[[Utente:Balubeto|Balubeto]] 05:29, 3 Giu 2006 (EDT)
 
===In una directory locale===
Nessuna preparazione richiesta.
 
 
==Sintassi ed Opzioni==
 
Apt-zip � composto da due eseguibili:
'''apt-zip-list''' e '''apt-zip-inst'''
 
; apt-zip-list : ha il compito di generare uno script (ed un file contenente le opzioni per l'installazione dei pacchetti che verranno scaricati) per il download dei pacchetti da una qualsiasi macchina Linux (con un trucchetto � possibile eseguire il download anche da macchine con un sistema operativo diverso, purch� con wget installato).<br/>
; apt-zip-inst : ha il compito di installare i file scaricati (vedremo in seguito come).
 
La sintassi � la seguente:
<pre>
apt-zip-list [--help] [--version] [--medium=mountpoint]
            [--aptgetaction=action] [--packages=package[,package...]]
            [--fix-broken] [--skip-mount] [--method=method] [--options=opt[,opt...]]
            [ --accept=accept[,accept...]] [ --reject=reject[,reject...]]
 
apt-zip-inst [--help] [--version] [--medium=mountpoint] [--aptgetaction=action]
            [--packages=package[,package...]] [--fix-broken] [--skip-mount]
</pre>
 
Dove le opzioni hanno il seguente significato:
 
'''In comune'''<br/>
; --help, -h : Mostra un piccolo help<br/>
; --medium, -m : Indica un mountpoint differente da quello indicato nel file di configurazione<br/>
; --aptgetaction, -a : Indica una azione da far compiere ad apt-get, le scelte possibili sono: dselect-upgrade, upgrade e dist-upgrade;
Se non viene passata l'opzione --packages, viene eseguita l'azione di default (se non modificata con questa opzione)<br/>
; --packages, -p : Indica una lista (separata da virgola) dei pacchetti da installare<br/>
; --fix-broken, -f : Esegue apt-get con l'opzione --fix-broken (man apt-get)<br/>
; --skip-mount : Non esegue il mount e l'umount della periferica (utile se non si vuole utilizzare una periferica removibile)<br/>
 
'''Solo per apt-get-list'''<br/>
; --accept , -A / --reject , -R : Lista separata da virgola dei protocolli utilizzari per il download (default http e ftp)<br/>
 
==Utilizzo==
 
Tratteremo allo stesso modo sia il caso in cui venga utilizzato un supporto removibile, sia quello in cui venga usata una directory del filesystem...
 
Prima di lanciare apt-zip dobbiamo decidere cosa fare:
# aggiornare il sistema
## usare dselect
## fare un upgrade
## fare un dist-upgrade
# installare dei pacchetti mancanti
 
 
===Aggiornare il sistema===
forse � la pratica pi� diffusa...abbiamo a disposizione tre opzioni:
 
====dselect-upgrade====
eseguendo
<pre>
# dselect
</pre>
 
e lanciando l'aggiornamento, verranno scaricati gli archivi con le liste dei pacchetti aggiornati, che verranno processati da dselect... inoltre si potranno anche selezionare i pacchetti che si vorrebbero installare (in pratica si usa normalmente il tool dselect, avendo cura di non selezionare l'opzione di installare i pacchetti, ma uscendo dal programma)...
Una volta fatto, � sufficiente lanciare il seguente comando per creare i due script necessari per scaricare, da un altro computer, i pacchetti:
<pre>
# apt-zip-list --aptgetaction=dselect-upgrade --medium=/mnt/point
</pre>
 
dove '''/mnt/point''' rappresenta il punto di mount del dispositivo; se si tratta di una directory normale, invece, il comando sar�
<pre>
# apt-zip-list --aptgetaction=dselect-upgrade --skip-mount --medium=/mnt/point
</pre>
 
 
====upgrade====
verr� generata la lista dei pacchetti da scaricare per eseguire un
<pre>
# apt-get upgrade
</pre>
 
il comando per fare questo �
<pre>
# apt-zip-list --aptgetaction=upgrade --medium=/mnt/point
</pre>
nel caso di un supporto removibile, o
<pre>
# apt-zip-list --aptgetaction=upgrade --skip-mount --medium=/mnt/point
</pre>
 
nel caso di una directory del filesystem...
 
====dist-upgrade====
in questo caso, verr� generata la lista dei pacchetti da scaricare per completare il comando
<pre>
# apt-get dist-upgrade
</pre>
 
il comando per fare questo �
<pre>
# apt-zip-list --aptgetaction=dist-upgrade --medium/mnt/point
</pre>
nel caso di un supporto removibile, o
<pre>
# apt-zip-list --aptgetaction=dist-upgrade --skip-mount --medium=/mnt/point
</pre>
nel caso di una directory del filesystem...
 
 
===Installare i pacchetti mancanti===
in questo caso, � possibile creare la lista di pacchetti necessari per l'installazione di un programma/pacchetto e per soddisfare le sue dipendenze...
il comando �
<pre>
# apt-zip-list --packages=pacchetto,pacchetto1,pacchetto2 --medium=/mnt/point
</pre>
nel caso di un supporto removibile, o
<pre>
# apt-zip-list --packages=pacchetto,pacchetto1,pacchetto2 --skip-mount --medium=/mnt/point
</pre>
nel caso di una directory del filesystem...
dove pacchetto,pacchetto1,pacchetto2 � la lista dei pacchetti da installare, separati da una virgola...
 
Come potete vedere, l'utilizzo � veramente semplice ed intuitivo...
 
 
==Gli Script==
 
Dopo l'esecuzione dei comandi illustrati precedentemente, verranno generati due script:
 
'''apt-zip.options''' contenente le opzioni passate ad apt-zip-list, che verranno utilizzate da apt-zip-inst per installare correttamente i pacchetti scaricati
 
'''fetch-script-wget-nomemacchina'''
che si occuper� di scaricare i pacchetti, di controllarne l'md5 (cos� da evitare i problemi derivanti da una possibile (remotamente) corruzione dei file)
 
In parole povere, sar� semplice, sulla macchina da cui si possono scaricare i pacchetti, lanciare il secondo script:
<pre>
$ ./fetch-script-wget-nomemacchina
</pre>
 
cos� verranno scaricati i pacchetti contenuti nella lista...
 
Se non si dispone di una shell dove eseguire lo script (se la macchina � windows, per esempio, anche se una visitina a [1] sarebbe indicata), � possibile scaricare ugualmente i pacchetti...
� sufficiente, infatti, lanciare questo comando:
<pre>
$ cat fetch-script-wget-maxer | egrep "://" | cut -d " " -f 1 > lista.txt
</pre>
 
per ottenere una lista 'normale' di file, utilizzabile da wget o da un normale programma per il download di file dalla rete...
Se si usa wget (Disponibile anche per windows [2]) � sufficiente un
<pre>
$ wget -i lista.txt
</pre>
 
 
{{Box|Nota Bene:|i file scaricati, per procedere con l'installazione, devono essere nella stessa directory che contiene il file apt-zip.options}}
 
==Installazione dei pacchetti==
 
Una volta terminato, � possibile installare i pacchetti con il comando
<pre>
# apt-zip-int --medium=/mnt/point
</pre>
 
(ricorod che la direttiva '''--medium''' pu� essere omessa se presente nel file di configurazione di apt-zip)
aggiungendo, eventualmente, '''--skip-mount''' se si tratta di una directory locale...
 
 
==Nessuna Connessione ad Internet==
In questa sezione vedremo come poter usare apt-zip in casi di totale assenza di connessione ad Internet. Premetto che la cosa � abbastanza macchinosa, e richiede due accessi al computer provvisto di connessione.
 
===L'idea===
L'idea �, fondamentalmente, semplice: ''inganneremo'' apt creando sulla nostra macchina un mirror dei repository da cui vorremmo attingere i pacchetti. Il mirror, per�, sar� parziale/fasullo, in quanto conterr� solo i file relativi ai pacchetti contenuti nel repository. Sar� necessario utilizzare Apache, in quanto apt-zip non inserisce nella lista i pacchetti non raggiungibili tramite una connessione (ad esempio quelli su disco..).
 
 
===Configurazione di Apache===
� sufficiente installare apache:
<pre>
# apt-get install apache
</pre>
Per una guida pi� approfondita a riguardo, consiglio la lettura di: [[LAMP: Linux, Apache, MySQL e PHP]].
 
La configurazione di default di Apache utilizza come directory principale di lavoro '''/var/www/''', che verr� usata anche da noi per creare i nostri repository ''fittizzi''!
 
Apache si ''muove'' come l'utente '''www-data''', quindi dovremo sempre preoccuparci di rendere i dati accessibili a questo utente, in modo da non ricevere errori di tipo ''403'', indicanti una mancanza di permessi.
 
===La struttura delle Directory===
Prendiamo come esempio il repository '''Nerim''', contenente software come mplayer, w32codecs, ... molto utili per la visualizzazione di filmati.
 
Prima di tutto, rechiamoci sul sito ufficiale del repository (http://debian.video.free.fr/), cos� da vedere come � strutturato.
 
Prendiamo in analisi i repository per Sarge:
<pre>
deb http://ftp.nerim.net/debian-marillat/ sarge main
</pre>
come descritto nella guida [[I repository ed il loro utilizzo]], in questo caso i file che descrivono il contenuto del repository si trovano in '''http://ftp.nerim.net/debian-marillat/dists/sarge/main/''', in particolare nella sottodirectory '''binary-i386'''.
 
Procediamo, quindi, a ricreare una struttura simile in '''/var/www/''':
<pre>
# mkdir /var/www/marillat
# chown user:www-data $_
# chmod g+s $_
$ cd /var/www/marillat
$ mkdir -p dists/sarge/main/binary-i386/
$ cd $_
</pre>
 
in questo caso, '''user''' rappresenta l'utente che normalmente utilizziamo, mentre '''$_''' ci permette di riutilizzare il parametro utilizzato nel comando precedente, facendoci risparmiare qualche carattere ([[Bash  tips]] per maggiori informazioni).
 
La struttura � stata creata, non ci resta che recuperare i file contenuti in quella directory: ''Packages.gz'' e ''Release''.
 
Una volta scaricati, copiamoli nella directory creata:
<pre>
$ cp Packages.gz Releasee /var/www/marillat/dists/sarge/main/binary-i386/
</pre>
 
 
===Modifica di sources.list===
Siamo pronti a modificare il file '''/etc/apt/sources.list''' in modo da utilizzare il repository appena creato.
Nel nostro caso di esempio, quindi, la riga da aggiungere sar� la seguente:
<pre>
deb http://localhost/arillat/ sarge main
</pre>
 
Una volta terminata la modifica, aggiorniamo il database dei pacchetti disponibili con un
<pre>
# apt-get update
</pre>
 
===Creazione della lista di pacchetti===
Ritornando al nostro ragionamento,
 
===Conversione dello script===
 
==Conclusione==
 
L'utilizzo di questa utility � veramente semplice, soprattutto rispetto alle innumerevoli comodit� che offre...
Personalmente uso apt-zip con un Hard Disk da 10Gb come supporto removibile, dove sono presenti delle directory per ogni computer che necessita di aggiornamenti/installazioni, cos� da avere tutto abbastanza separato ed ordinato...
 
 
==Bookmarks==
 
[1] Bash & Windows - http://home.wanadoo.nl/fvu/Projects/Bash/Web/bash.htm<br/>
[2] WGET for Windows - http://www.interlog.com/~tcharron/wgetwin.html
 
 
---- [[User:MaXeR|MaXeR]]
1 760

contributi