Dpkg-sig: Firma dei packages .deb
Versioni Compatibili Debian 8 "jessie" Debian 9 "stretch" Debian 10 "buster" |
Introduzione
Per poter firmare i nostri pacchetti abbiamo bisogno di due strumenti: gpg e dpkg-sig.
Il primo dovrebbe essere già installato di default con la nostra Debian, per il secondo con privilegi di amministrazione è sufficiente:
# apt install dpkg-sig
Creare la coppia di chiavi
A questo punto possiamo generare una nuova coppia di chiavi, da usare solo per firmare i pacchetti:
$ gpg --gen-key
Ci verrà chiesto il nome e l'indirizzo email. Tutte le altre configurazioni sono lasciate al default (a meno che non si usi l'opzione --full-generate-key
al posto di --gen-key
), che dovrebbe andare più che bene.
Ora premiamo o per confermare le informazioni, e invio. Ci verrà richiesta la password per le chiavi, inseriamola e diamo invio nuovamente. Infine non resta che aspettare un po' per la generazione delle chiavi.
Ecco fatto, ora abbiamo la nostra coppia di chiavi per firmare i pacchetti, esportiamole sul nostro keyserver preferito.
Firmare i pacchetti
Per firmare i nostri pacchetti procediamo in questo modo:
# dpkg-sig --sign nostronick nomepackages.deb
Suggerimento Per scegliere la chiave si può aggiungere l'argomento -k seguito dall'identificativo della chiave. |
Ecco fatto, ora abbiamo firmato in maniera inequivocabile il nostro pacchetto. Per controllare la firma possiamo usare sia dpkg-sig
che gpg
. Con gpg
basta usare il seguente comando:
# gpg --verify nome package
mentre con dpkg-sig
:
# dpkg-sig -v -l nome package
Esempio# dpkg-sig -v -l cwcdr_2.0.1-4_all.deb Processing wcdr_2.0.1-4_all.deb... debian |
come potete vedere quest'ultima maniera mostra solo il nick di colui che ha firmato il pacchetto.
Guida scritta da: Noise | Debianized 20% |
Estesa da: | |
Verificata da: | |
Verificare ed estendere la guida | Cos'è una guida Debianized |