Использование локального репозитория и (или) apt-mirror2

[kol1978]

Avoid using stable in your sources.list as that results in nasty surprises and broken systems when the next release is made; upgrading to a new release should be a deliberate, careful action and editing a file once every two years is not a burden.

Собственно вот...

Будьте внимательны! это

############# end config ##############
deb https://ftp.debian.org/debian/ stable bookworm contrib main non-free non-free-firmware
deb-src https://ftp.debian.org/debian/ stable bookworm contrib main non-free non-free-firmware

из mirror.list! попробуйте убрать stable или bookworm...посмотрите что будет... Вы пробовали?

17 сентября 2024, 12:22:30

Код Выделить Развернуть

sudo apt-get -o Acquire::Check-Valid-Until=false update
правда, это workaround, а не решение проблемы...
[/quote]
Спасибо за быстрый ответ...но мне нужно говорить что происходит при применении предлагаемой команды.

17 сентября 2024, 12:24:50
sudo apt-get -o Acquire::Check-Valid-Until=false update  - не помогло

17 сентября 2024, 12:26:41

E: Файл Release для file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security/dists/bookworm-security/InRelease просрочен (недостоверный уже 22ч
31мин 34с). Обновление этого репозитория производиться не будет.

[Лия]

Вы пробовали?

Не используюсь apt-mirror2

E: Файл Release для file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security/dists/bookworm-security/InRelease просрочен (недостоверный уже 22ч
31мин 34с). Обновление этого репозитория производиться не будет.

Как вариант - попробовать выполнить apt-mirror2 заново

18 сентября 2024, 03:18:34

из mirror.list

Есть пример mirror.list: https://wiki.debian.org/ru/CreateLocalRepo#A.2BBB0EMARBBEIEQAQ.2BBDkEOgQw_apt-mirror
Там как раз нет stable, есть только название релиза

18 сентября 2024, 03:44:48

file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security/dists/bookworm-security/InRelease

Насколько я поняла из https://security.debian.org/debian-security/dists/bookworm-security/InRelease , есть что-то вроде "срока действия" после которого зеркало считается "устаревшим"

Date: Tue, 17 Sep 2024 21:12:10 UTC
Valid-Until: Tue, 24 Sep 2024 21:12:10 UTC

[kol1978]

Вы пробовали?

Не используюсь apt-mirror2

E: Файл Release для file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security/dists/bookworm-security/InRelease просрочен (недостоверный уже 22ч
31мин 34с). Обновление этого репозитория производиться не будет.

Как вариант - попробовать выполнить apt-mirror2 заново

18 сентября 2024, 03:18:34

из mirror.list

Есть пример mirror.list: https://wiki.debian.org/ru/CreateLocalRepo#A.2BBB0EMARBBEIEQAQ.2BBDkEOgQw_apt-mirror
Там как раз нет stable, есть только название релиза

18 сентября 2024, 03:44:48

file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security/dists/bookworm-security/InRelease

Насколько я поняла из https://security.debian.org/debian-security/dists/bookworm-security/InRelease , есть что-то вроде "срока действия" после которого зеркало считается "устаревшим"

Date: Tue, 17 Sep 2024 21:12:10 UTC
Valid-Until: Tue, 24 Sep 2024 21:12:10 UTC

использовал  apt-mirror а не  apt-mirror2...  apt-mirror при установке создает шаблон mirror.list причем для каждой версии свой т.е. указывает как надо для конкретного.

apt-key - Устаревшая утилита управления ключами APT поэтому инструкция в этом плане не годиться - нужна новая :

keyrings - средство управления и хранения ключей в ядре  - новое?
Проблема на данный момент только с ключами...
Думал использовать apt-mirror2 так как была пара ошибок индексации:

Use of uninitialized value $lines{"Files:"} in split at /usr/bin/apt-mirror line 920, <STREAM> line 1.
Use of uninitialized value $lines{"Files:"} in split at /usr/bin/apt-mirror line 920, <STREAM> line 2.
apt-mirror: can't open index httpredir.debian.org/debian//dists/stable/bookworm/binary-amd64/Packages in process_index at /usr/bin/apt-mirror line 891.
PPP]
26.0 GiB will be downloaded into archive.
Downloading 1461 archive files using 20 threads...
Begin time: Tue Sep 17 21:14:27 2024
[20]... ^C

на данный момент от этого временно отказался.
Повторю - пока вопрос только с ключами: как подписывать локальный репозиторий и "хранить" доступ к онлайновому стандартному репозиторию на данный момент?

18 сентября 2024, 05:54:24
Взял "ключи" отсюда :

Ключи уже доступны на
 https://ftp-master.debian.org/keys/archive-key-12.asc
  https://ftp-master.debian.org/keys/archive-key-12-security.asc

удалил все это :

kol@debian:/etc/apt/trusted.gpg.d$ ls -l
итого 88
-rwxrwxrwx 1 root root 11861 июл 31  2023 debian-archive-bookworm-automatic.asc
-rwxrwxrwx 1 root root 11873 июл 31  2023 debian-archive-bookworm-security-automatic.asc
-rwxrwxrwx 1 root root  461 июл 31  2023 debian-archive-bookworm-stable.asc
-rwxrwxrwx 1 root root 11861 июл 31  2023 debian-archive-bullseye-automatic.asc
-rwxrwxrwx 1 root root 11873 июл 31  2023 debian-archive-bullseye-security-automatic.asc
-rwxrwxrwx 1 root root  3403 июл 31  2023 debian-archive-bullseye-stable.asc
-rwxrwxrwx 1 root root 11093 июл 31  2023 debian-archive-buster-automatic.asc
-rwxrwxrwx 1 root root 11105 июл 31  2023 debian-archive-buster-security-automatic.asc
-rwxrwxrwx 1 root root  1704 июл 31  2023 debian-archive-buster-stable.asc
-rwxrwxrwx 1 root root  2277 сен 17 08:56 yandex-browser.gpg
kol@debian:/etc/apt/trusted.gpg.d$

так что там остались (archive-key-12.asc) два ключа - так тоже работает и если удаляешь archive-key-12.asc то пишет ошибку:

W: Произошла ошибка при проверке подписи. Репозиторий не обновлён, и будут использованы предыдущие индексные файлы. Ошибка GPG: file:/var/spool/apt-mirror/m
irror/security.debian.org/debian-security bookworm-security InRelease: Следующие подписи не могут быть проверены, так как недоступен открытый ключ: NO_PUBKE
Y 54404762BBB6E853 NO_PUBKEY BDE6D2B9216EC7A8
W: Не удалось получить file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security/dists/bookworm-security/InRelease  Следующие подписи не могут б
ыть проверены, так как недоступен открытый ключ: NO_PUBKEY 54404762BBB6E853 NO_PUBKEY BDE6D2B9216EC7A8
W: Некоторые индексные файлы скачать не удалось. Они были проигнорированы, или вместо них были использованы старые версии.

. Получается что apt-get update сам подхватывает другие ключи из /etc/apt/trusted.gpg и их использует - не понятно как он понимает что (какие) нужно использовать и apt-key list меняется автоматически (команда apt-key add archive-key-12-security.asc не нужна)?

18 сентября 2024, 05:58:57
команда gpg --armor -o Release.gpg -sb Release  получается тоже не нужна: удалил ф. Release.gpg и все равно работает - Release.gpg нужен?

gpg --armor -o Release.gpg -sb Release выдает:

kol@debian:/var/spool/apt-mirror/mirror/httpredir.debian.org/debian/dists/bookworm$ gpg --armor -o Release.gpg -sb Release   
gpg: no default secret key: No secret key
gpg: signing failed: No secret key

похоже что как бы нет ключа...почему она не использует archive-key-12.asc в папке /etc/apt/trusted.gpg.d? эта команда вообще нужна сейчас???

18 сентября 2024, 15:38:17
Думаю может отдельную тему создать...? :

https://habr.com/ru/companies/ruvds/articles/349618/

Дистрибутивы Linux используют PGP для обеспечения неизменности бинарных пакетов или пакетов с исходным кодом с момента их создания до момента их установки конечным пользователем.
В PGP используются криптография с  помощью криптографических методов, например, обычный текст может быть преобразован в текст зашифрованный. Этот процесс требует наличия двух разных ключей:
1. Открытого ключа, который известен («всем») тому для кого предназначен зашифрованный материал. - archive-key-12-security.asc это закрытый или открытый ключ?
2.   Закрытого ключа, который известен только владельцу. Кто владеет «закрытым» ключом репозитория дебиан?
В ходе шифрования создаётся сообщение, которое можно расшифровать только используя соответствующий закрытый ключ.
Процесс шифрования выглядит так:
1.   Отправитель создаёт случайный ключ шифрования (сеансовый ключ).
2.   Отправитель шифрует содержимое сообщения, применяя этот сеансовый ключ (с использованием симметричного шифра). – похоже «сеансовый» ключ это синоним закрытого ключа отправителя?
3.   Отправитель шифрует сеансовый ключ, используя открытый ключ PGP получателя. - Но ведь он не получал пока ничего от получателя...как он это сделает? Тогда в пункте №1 должно быть: отправитель получает открытый ключ получателя, создает свой «случайный» ключ шифрования «сеансовый» (какой из них закрытый а какой открытый и для кого?)...
4.   Отправитель отправляет зашифрованные данные и зашифрованный сеансовый ключ получателю.
Для расшифровки зашифрованного сообщения выполняются следующие действия:
1.   Получатель расшифровывает сеансовый ключ, используя свой закрытый ключ PGP. В какой момент получатель создает свой закрытый ключ?
2.   Получатель использует сеансовый ключ для расшифровки содержимого сообщения.
Для подписывания данных открытые и закрытые ключи PGP используются обратным способом:
1.   Подписывающий генерирует хэш контрольной суммы неких данных. – что это за данные касательно debian пакетов?
2.   Подписывающий использует собственный закрытый ключ для шифрования этой контрольной суммы.
3.   Подписывающий предоставляет зашифрованную контрольную сумму вместе с данными. – в эти данные входит  Release.gpg ?
Для проверки подписи выполняют следующие действия:
1.   Проверяющий генерирует собственную контрольную сумму данных. – проверяющий это пользователь пакетов и (или) apt-get?
2.   Проверяющий использует открытый ключ подписывающего для расшифровывания предоставленной контрольной суммы.
3.   Если контрольные суммы совпадают, значит целостность содержимого подтверждена.
Часто зашифрованные сообщения ещё и подписывают с использованием собственного PGP-ключа отправителя данных. – это апафиоз!
Ps "процесс требует наличия двух разных ключей" – а впечатление что ключей то гораздо больше... «Если в вашей системе есть и команда gpg, и команда gpg2, хорошо бы настроить всё так, чтобы по команде gpg вызывалась GnuPG v.2, а не старая версия ПО» - от оно чё михалычь...

[Лия]

Повторю - пока вопрос только с ключами: как подписывать локальный репозиторий

Для начала нужно создать собственный ключ (а не брать его откуда-то)

18 сентября 2024, 15:54:48
Покажите

Код Выделить Развернуть

gpg --list-keys

18 сентября 2024, 15:56:11

archive-key-12-security.asc это закрытый или открытый ключ?

открытый

18 сентября 2024, 15:56:32

Если в вашей системе есть и команда gpg, и команда gpg2, хорошо бы настроить всё так, чтобы по команде gpg вызывалась GnuPG v.2, а не старая версия ПО

gpg и gpg2 это одно и то же

18 сентября 2024, 15:56:54

Код Выделить Развернуть

$ gpg --version | head -n1
gpg (GnuPG) 2.2.40
$ gpg2 --version | head -n1
gpg (GnuPG) 2.2.40

18 сентября 2024, 15:57:12

archive-key-12.asc

Потому что это открытый ключ
Вам нужен свой ключ
Этот не подойдёт

[kol1978]

18 сентября 2024, 15:57:12

archive-key-12.asc

Потому что это открытый ключ
Вам нужен свой ключ
Этот не подойдёт
[/quote]
В смысле не подойдет?!   Он уже подходит - только с ним update работает сейчас...и ну как бы зачем (для чего) он тогда нужен? Да и - это понятно что сам могу зашифровать что угодно в gpg... но мне то надо проверить на "достоверность"  инфу (пакеты, релизы) от других людей...

[Лия]

19 сентября 2024, 03:43:24

но мне то надо проверить на "достоверность"  инфу (пакеты, релизы) от других людей...

А, тогда понятно Я думала, вы хотите своим ключом подписать

[kol1978]

До(пере)зился с другого репозитория...теперь все работает без ошибок: нет ошибок индексирования и все связанные находит.

kol@debian:/etc/apt/trusted.gpg.d$ sudo apt-get update
Пол:1 file:/var/spool/apt-mirror/mirror/ftp.debian.org/debian bookworm InRelease [151 kB]
Пол:1 file:/var/spool/apt-mirror/mirror/ftp.debian.org/debian bookworm InRelease [151 kB]
Пол:2 file:/var/spool/apt-mirror/mirror/ftp.debian.org/debian bookworm-backports InRelease [59,0 kB]
Пол:3 file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security bookworm-security InRelease [48,0 kB]
Пол:2 file:/var/spool/apt-mirror/mirror/ftp.debian.org/debian bookworm-backports InRelease [59,0 kB]
Пол:3 file:/var/spool/apt-mirror/mirror/security.debian.org/debian-security bookworm-security InRelease [48,0 kB]
Чтение списков пакетов... Готово 
kol@debian:/etc/apt/trusted.gpg.d$

kol@debian:/etc/apt/trusted.gpg.d$ wget https://ftp-master.debian.org/keys/archive-key-12.asc
--2024-09-19 10:08:14--  https://ftp-master.debian.org/keys/archive-key-12.asc
Распознаётся ftp-master.debian.org (ftp-master.debian.org)... 192.91.235.231
Подключение к ftp-master.debian.org (ftp-master.debian.org)|192.91.235.231|:443... соединение установлено.
HTTP-запрос отправлен. Ожидание ответа... 200 OK
Длина: 11861 (12K) [application/pgp-keys]
Сохранение в: «archive-key-12.asc»

archive-key-12.asc            100%[===================================================>]  11,58K  --.-KB/s    за 0,01s   

2024-09-19 10:08:15 (1,00 MB/s) - «archive-key-12.asc» сохранён [11861/11861]
 
kol@debian:/etc/apt/trusted.gpg.d$ ls -li
итого 24
39061410 -rw-r--r-- 1 kol kol 11861 мар  9  2023 archive-key-12.asc
39059775 -rw-r--r-- 1 kol kol 11873 мар  9  2023 archive-key-12-security.asc
kol@debian:/etc/apt/trusted.gpg.d$

Использую ключи 39061410 -rw-r--r-- 1 kol kol 11861 мар  9  2023 archive-key-12.asc
39059775 -rw-r--r-- 1 kol kol 11873 мар  9  2023 archive-key-12-security.asc
Создам другую тему по ключам.

19 сентября 2024, 05:18:10

19 сентября 2024, 03:43:24

но мне то надо проверить на "достоверность"  инфу (пакеты, релизы) от других людей...

А, тогда понятно Я думала, вы хотите своим ключом подписать

ну как бы это же должно быть понятно по умолчанию (смысл то какой - общий репозиторий подписывать своим ключом?) и что : и так и так...Создам новую тему - есть вопросы.

PS настоятельно рекомендую ftp.debian.org (вместо httpredir.debian.org или МИФИ...ит.д) как минимум будет меньше "ошибок-вопросов"...

[Лия]

но мне то надо проверить на "достоверность"  инфу (пакеты, релизы) от других людей...

apt-get update делает это самостоятельно

23 сентября 2024, 23:58:43

Получается что apt-get update сам подхватывает другие ключи из /etc/apt/trusted.gpg и их использует

Да

команда apt-key add archive-key-12-security.asc не нужна

Да

Release.gpg нужен

Подпись находится в файле InRelease

Кто владеет «закрытым» ключом репозитория дебиан?

Разработчики Debian

текст зашифрованный

В репозиториях apt не применяется шифрование, только подпись

[kol1978]

текст зашифрованный

В репозиториях apt не применяется шифрование, только подпись

Вот именно... а Release.gpg это отдельная подпись файла Release, в то время как InRelease это сам подписанный файл.

Почему необходима именно GnuPG v.2? Версия gpg (GnuPG) 1.4.x прекрасно работает. Но про ключи думаю правильнее в другую мою тему писать...

Выяснил (методом тыка) что для локального репозитория не подходят некоторые (ZFS и NTFS) файловые системы...где то об этом написано?

[dzhoser]

Вы должны осознавать, что сторонние файловые системы не поддерживают права Linux систем.  Всего не напишешь.