Imre: Uus lehekülg: '===Sissejuhatus=== reprepro https://mirrorer.alioth.debian.org/ tarkvara abil hallatakse lokaalset apt repositooriumit. Repositoorimi haldamine on suhteliselt lihtne ja tulemus...'

2021-09-02T09:52:59Z

Uus lehekülg: '===Sissejuhatus=== reprepro https://mirrorer.alioth.debian.org/ tarkvara abil hallatakse lokaalset apt repositooriumit. Repositoorimi haldamine on suhteliselt lihtne ja tulemus...'

Uus lehekülg

===Sissejuhatus===

reprepro https://mirrorer.alioth.debian.org/ tarkvara abil hallatakse lokaalset apt repositooriumit. Repositoorimi haldamine on suhteliselt lihtne ja tulemus on suhteliselt täisväärtuslik, nt toimib nn SecureApt, https://wiki.debian.org/SecureApt. Käesolev tekst on koostatud Ubuntu v. 16.04 keskkonda kasutades, aga võiks töötada nö mujal ka. gnupg2 tarkvara kasutamisel jälgida, kas see pakett paigaldataks ka reprepro paketi sõltuvusena ja kui, siis kautada GnuPG v. 2 võtmeid.

===Tööpõhimõte===

reprepro kasutamine seisneb vajadusel reprepro nimelise programmi käivitamisel sobivate argumentidega, käivitamise tulemusena tavaliselt genereeritakse apt repositooriumile vastav kataloogistruktuur koos seal sisalduvate nö igasuguste failidega (Release.gpg jt). Tavaliselt on reprepro arvutis lisaks vajalikud

* gpg tarkvara (v. 1.4 või v. 2.x) - käesolevas tekstis kasutatakse v. 2 tarkvara ja krüptomaterjali
* reprepro käivitajal on kasutada gpg signeerimise võti
* veebiserver (nt NginX või Apache)

Tüüpilisel reprepro kasutusjuhtumil nt arendaja annab tellijale oma töö üle .deb failidena, aga neid otseselt on ebamugav kasutada (nö dpkg -i paketinimi.deb ütlemisega). Lahenduseks on paigaldada üle võrgu, sarnasel viisil nagu kasutatakse tavalist apt repositooriumi (nt ee.archive.ubuntu.com). Seejuures uuemal ajal apt klient eeldab, et repositoorum on nö turvaline, st kasutatakse signeeritud Release.gpg faili. Selliste omadustega repositooriumi haldamiseks on sobiv kasutada reprepro tarkvara.

reprepro lahenduse tekitamise sammud

* paigaldada operatsioonisüsteem (nt Debian või Ubuntu)
* tekitada reprepro kasutaja
* paigaldada gpg tarkvara ja genereerida reprepro kasutajana gpg signeerimise võti
* paigaldada ja seadistada reprepro tarkvara
* paigutada reprepro repositooriumisse pakett
* paigaldada ja seadistada veebiserveri tarkvara ning teha reprepro poolt genereeritud apt kataloogistruktuur üle võrgu kättesaadavaks
* seadistada apt klient kasutama repositoorimumi ja kasutada

===Tarkvara paigaldamine===

Tarkvara paigaldamiseks sobib öelda

# apt-get install gnupg2 reprepro rng-tools nginx

kus

* rng-tools kiirendab /dev/urandom kasutamist vms, vastasel korral võtmete genereerimine väga aeglane

===Repositooriumi haldav kasutaja:grupp===

kasutaja:grupp tekitamine mille abil repositooriumi hallatakse

# groupadd repropro
# useradd -g repropro -m -d /opt/repropro -s /bin/bash repropro

===GPG v. 2 võtmed===

GPG v. 2 võtmete genereerimisel tuleb teha kaks liigutust ja tekib kolm võtmepaari

* genereerida nö master võtmepaar (see on gpg kasutamise eelduseks) signeerimiseks
* master võtmepaariga kaasneb automaatselt ühe krüptimise subkey võtmepaari tekkimine
* genereerida signeerimise subkey võtmepaar

====Master signeerimise võti ja subkey kürptimise võti====

Nt sobib master võtmepaari genereerimiseks sellist seadistusfaili

<pre>
$ cat gpg2.template
%echo Generating a basic OpenPGP key
Key-Type: RSA
Key-Length: 4096
Key-Usage: sign
Subkey-Type: RSA
Subkey-Length: 4096
Subkey-Usage: encrypt
Name-Real: Moraal APT
Name-Email: moraal-apt@moraal.ee
Expire-Date: 0
Passphrase: abc,6543H
%commit
%echo done
</pre>

Genereerimisks öelda

<pre>
$ gpg2 --batch --gen-key gpg2.template
gpg: directory '/opt/reprepro/.gnupg' created
gpg: new configuration file '/opt/reprepro/.gnupg/dirmngr.conf' created
gpg: new configuration file '/opt/reprepro/.gnupg/gpg.conf' created
gpg: keybox '/opt/reprepro/.gnupg/pubring.kbx' created
gpg: Generating a basic OpenPGP key
gpg: /opt/reprepro/.gnupg/trustdb.gpg: trustdb created
gpg: key EDD7F10A marked as ultimately trusted
gpg: directory '/opt/reprepro/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/opt/reprepro/.gnupg/openpgp-revocs.d/D936FDF35DE6AEB9241AA937C348B1DAEDD7F10A.rev'
gpg: done
</pre>

Tulemusena tekib master võti

<pre>
$ gpg2 --list-keys
gpg: checking the trustdb
gpg: marginals needed: 3 completes needed: 1 trust model: PGP
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
/opt/reprepro/.gnupg/pubring.kbx
------------------------------
pub rsa4096/EDD7F10A 2017-10-24 [SC]
uid [ultimate] Moraal APT <moraal-apt@moraal.ee>
sub rsa4096/0D884A61 2017-10-24 [E]
</pre>

====Signeerimise subkey võti====

Signeerimise subkey võtme tekitamiseks sobib öelda

<pre>
$ gpg2 --edit-key EDD7F10A
gpg (GnuPG) 2.1.11; Copyright (C) 2016 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec rsa4096/EDD7F10A
created: 2017-10-24 expires: never usage: SC
trust: ultimate validity: ultimate
ssb rsa4096/0D884A61
created: 2017-10-24 expires: never usage: E
[ultimate] (1). Moraal APT <moraal-apt@moraal.ee>

gpg> addkey
Please select what kind of key you want:
(3) DSA (sign only)
(4) RSA (sign only)
(5) Elgamal (encrypt only)
(6) RSA (encrypt only)
Your selection? 4
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 4096
Requested keysize is 4096 bits
Please specify how long the key should be valid.
0 = key does not expire
<n> = key expires in n days
<n>w = key expires in n weeks
<n>m = key expires in n months
<n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y
Really create? (y/N) y
</pre>

seejärel küsitakse uue võtme parooli kaks korda, et võtmele parool seada ning master võtme parooli, et uus võti signeerida. Tulemusena öeldakse

<pre>
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.

sec rsa4096/EDD7F10A
created: 2017-10-24 expires: never usage: SC
trust: ultimate validity: ultimate
ssb rsa4096/0D884A61
created: 2017-10-24 expires: never usage: E
ssb rsa4096/E1DD3BBF
created: 2017-10-24 expires: never usage: S
[ultimate] (1). Moraal APT <moraal-apt@moraal.ee>

gpg>
</pre>

lõpuks salvestada muudatused võtmehoidjasse

gpg> save

Tulemus paistab selline

<pre>
$ gpg2 --list-keys
/opt/reprepro/.gnupg/pubring.kbx
------------------------------
pub rsa4096/EDD7F10A 2017-10-24 [SC]
uid [ultimate] Moraal APT <moraal-apt@moraal.ee>
sub rsa4096/0D884A61 2017-10-24 [E]
sub rsa4096/E1DD3BBF 2017-10-24 [S]
</pre>

====Võtmete haldus====

* võtme salvestamiseks

$ gpg2 -a --export E1DD3BBF > reprepro.gpg

* võtme omadusi saab kontrollida aadressil http://cirw.in/gpg-decoder/
* võtme packet sisu esitamine

$ gpg2 -a --export "E1DD3BBF" | gpg --list-packets --verbose

* parooli eemaldamine

# gpg2 --edit-key KeyID
> passwd

ning seejärel sisestada töötav parool ning kaks korda uue parooli sisestamisest mina Enter'iga üle.

====Kasulikud lisamaterjalid====

* https://www.gnupg.org/documentation/manuals/gnupg/Unattended-GPG-key-generation.html
* http://irtfweb.ifa.hawaii.edu/~lockhart/gpg/
* https://wiki.gentoo.org/wiki/GnuPG
* https://www.apache.org/dev/openpgp.html
* https://davesteele.github.io/gpg/2014/09/20/anatomy-of-a-gpg-key/
* https://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/
* https://tools.ietf.org/html/rfc4880
* https://pgp.key-server.io/
* https://pgp.cs.uu.nl/

===GPG v. 1 võtmed===

Käesolev punkt on väga lakooniline, reeglina võiks tänapäeval kasutada GnuPG v. 2 tarkvara.

====Master signeerimise võti ja subkey kürptimise võti====

v. 1.4 puhul tuleb sha1 vältimiseks kasutada nt sellist seadistusfaili, https://keyring.debian.org/creating-key.html

$ cat .gnupg/gpg.conf
personal-digest-preferences SHA256
cert-digest-algo SHA256
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed

Nt sobib master võtmepaari genereerimiseks sellist malli

<pre>
$ cat gpg.template
%echo Generating a basic OpenPGP key
Key-Type: RSA
Key-Length: 4096
Key-Usage: sign
Subkey-Type: RSA
Subkey-Length: 4096
Subkey-Usage: encrypt
Name-Real: Moraal APT
Name-Email: moraal-apt@moraal.ee
Expire-Date: 0
Passphrase: abc,6543H
%commit
%echo done
</pre>

Genereerimisks öelda

<pre>
$ gpg --batch --gen-key gpg.template
</pre>

====Signeerimise subkey võti====

$ gpg --edit-key KeyID
gpg> addkey
...

===reprepro seadistamine===

reprepro seadistamiseks on sobib kasutada ne selline distributions fail

<pre>
$ cat /srv/repositories/conf/distributions
Codename: xenial
Components: main
Architectures: i386 amd64
SignWith: E1DD3BBF
</pre>

ning nt selline options fail

<pre>
$ cat /srv/repositories/conf/options
ask-passphrase
</pre>

===Kasutamine===

reprepro kasutamine on praktiliselt ühtemoodi, nii GnuPG v. 1 kui v. 2 kasutamisel. Paketi lisamine repositooriumisse

$ reprepro -b /var/repositories includedeb xenial ioping_0.9-2_amd64.deb

Repositooriumi sisu esitamine

$ reprepro -b /var/repositories/ list xenial
xenial|main|amd64: ioping 0.9-2

Paketi eemaldamine repositooriumist

$ reprepro -b /srv/repositories/ remove xenial ioping
Exporting indices...
Deleting files no longer referenced...

===Misc===

* v. 1.4 -> 2.1 teisendus

$ gpg --export-secret-keys | gpg2 --import -

* võtmete varukoopia moodustamine

TODO

===Kasulikud lisamaterjalid===

* https://blog.packagecloud.io/eng/2017/03/23/create-debian-repository-reprepro/
* https://help.ubuntu.com/community/CreateAuthenticatedRepository
* https://www.howtoforge.com/setting-up-an-apt-repository-with-reprepro-and-nginx-on-debian-wheezy
* https://www.digitalocean.com/community/tutorials/how-to-use-reprepro-for-a-secure-package-repository-on-ubuntu-14-04
* https://josetips.wordpress.com/tag/reprepro/
* http://blog.jonliv.es/blog/2011/04/26/creating-your-own-signed-apt-repository-and-debian-packages/
* https://wiki.debian.org/DebianRepository/SetupWithReprepro

Reprepro kasutamine - Redigeerimiste ajalugu

Imre: Uus lehekülg: '===Sissejuhatus=== reprepro https://mirrorer.alioth.debian.org/ tarkvara abil hallatakse lokaalset apt repositooriumit. Repositoorimi haldamine on suhteliselt lihtne ja tulemus...'