dan*_*gan 14 packaging signature deb
我想创建一些 deb 包,但我不知道“签名”包是如何工作的。所以我想知道如何创建一个签名的 deb 包。
Ubuntu/Debian 系统上的包签名相当混乱。理论上,对 deb 包进行签名可以让接收您的包的人在您签名后验证该包没有被修改。实际上,签名验证非常难以设置,默认情况下是禁用的。除非用户在本地进行大量设置,否则在安装包时他们不会验证签名。
为了对包进行签名,您可以使用:debsigs 或 dpkg-sig。签名彼此不兼容,因此您需要确保用户在接收方使用正确的工具来验证签名。
dpkg-sig 对您和用户来说都更容易使用,但 debsigs 是在 Ubuntu 和 Debian 上具有内置支持(默认情况下禁用)的工具。
我写了一篇博客文章,其中包含签名和验证源包(.dsc 文件)、二进制包(.deb)和 APT 包存储库本身的所有技术细节:http : //blog.packagecloud.io/eng/2014/ 10/28/howto-gpg-sign-verify-deb-packages-apt-repositories/