15.3. Создание репозитория пакетов для APT

Falcot Corp со временем начала сопровождение нескольких пакетов Debian, либо локально модифицированных из существующих пакетов, либо созданных с нуля с целью распространять внутренние данные и программы.

Чтобы упростить процесс развёртывания, им необходимо интегрировать эти пакеты в хранилище, которое может быть использовано непосредственно с помощью APT. В силу очевидных причин они хотят отделить внутренние пакеты от пересобранных локально. Цель состоит в том, чтобы можно было привести записи в файле /etc/apt/sources.list.d/falcot.list к следующему виду:

deb http://packages.falcot.com/ updates/
deb http://packages.falcot.com/ internal/

Соответственно, администраторы настраивают на своем внутреннем HTTP-сервере виртуальный хост с корневым каталогом /srv/vhosts/packages/. Управление самим архивом осуществляется командой mini-dinstall (из одноимённого пакета). Этот инструмент следит за каталогом incoming/ (в нашем случае это /srv/vhosts/ packages/mini-dinstall/incoming/) и ожидает появления пакетов в нём; когда пакет будет загружен, он установится в хранилище Debian по адресу /srv/vhosts/packages/. Команда mini-dinstall считывает файл *.changes, создающийся при сбоке пакета Debian. Эти файлы содержат список всех прочих файлов, относящихя к этой версии пакета (*.deb, *.dsc , *.diff.gz/*.debian.tar.gz, *.orig.tar.gz или их эквивалентов, сжатых другими инструментами), и из них mini-dinstall узнаёт, какие файлы устанавливать. Файлы *.changes также содержат название целевого дистрибутива (чаще unstable), указанного в последней записи в debian/changelog, и mini-dinstall использует эту информацию,чтобы решить, куда нужно установить пакеты. Поэтому администраторы перед сборкой пакета должны всегда изменять значение в этом поле на internal или updates, в зависимости от целевого расположения. Затем mini-dinstall создает файлы, необхдимые для APT, такие как Packages.gz.

ALTERNATIVE apt-ftparchive, aptly, and reprepro

Если mini-dinstall кажется слишком сложным для вашего архива Debian, вы также можете использовать команду apt-ftparchive. Этот инструмент сканирует содержимое каталога и отображает (в своём стандартном выводе) соответствующий файл Packages. В случае Falcot Corp администраторы могут загрузить пакеты непосредственно в /srv/vhosts/packages/updates/ или /srv/vhosts/packages/internal/, а затем запустить следующие команды для создания файлов Packages.gz:

$ cd /srv/vhosts/packages
$ apt-ftparchive packages updates >updates/Packages
$ gzip updates/Packages
$ apt-ftparchive packages internal >internal/Packages
$ gzip internal/Packages

Команда apt-ftparchive sources позволяет создать файлы Sources.gz аналогичным образом.

reprepro and aptly are more advanced tools for the same purpose. They can produce, manage and synchronize a number of package repositories, mirror other repositories, even cherry-pick packages from official repositories and provide them locally, create signatures of the generated package indices and thus provide signed repositories. reprepro stores packages and checksums in a Berkeley DB database file, so no database server is needed. aptly provides the same functionality, but it can be easier in handling. Unfortunately, both projects, although probably the most feature-rich solutions, are not actively developed at the moment.

reprepro comes with a lot of documentation and examples in /usr/share/doc/reprepro/, while aptly has a vast online documentation.

→ https://www.aptly.info/

Настройка mini-dinstall сводится к созданию файла ~/.mini-dinstall.conf; в случае Falcot Corp содержимое его будет следующим:

[DEFAULT]
archive_style = flat
archivedir = /srv/vhosts/packages

verify_sigs = 0
mail_to = [email protected]

generate_release = 1
release_origin = Falcot Corp
release_codename = stable

[updates]
release_label = Recompiled Debian Packages

[internal]
release_label = Internal Packages

Решением, которое стоит отметить, является генерация файла Release для каждого хранилища. Это может помочь управлять приоритетами установки пакета с помощью конфигурационного файла /etc/apt/preferences (см. Раздел 6.2.5, «Управление приоритетами пакетов»).

БЕЗОПАСНОСТЬ mini-dinstall и права доступа

Поскольку mini-dinstall разработан с целью запуска от имени обычного пользователя, нет нужды запускать его от имени root. Самый простой способ — настроить всё в пределах учетной записи, принадлежащей администратору, отвечающему за создание пакетов Debian. Так как только этот администратор имеет необходимые полномочия, необходимые для размещения файлов в каталоге incoming/ мы можем сделать вывод, что администратор проверил подлинное происхождение каждого пакета до развёртывания, и у mini-dinstall нет необходимости делать это снова. Это объясняет параметр verify_sigs = 0 (который означает, что нет нужды проверять подписи). Однако, если содержимое пакетов уязвимо, мы можем изменить настройку и принять решение об аутентификации с помощью брелока, содержащего открытые ключи лиц, которым разрешено создавать пакеты (настроенного с помощью параметра extra_keyrings); в таком случае mini-dinstall проверит происхождение каждого входящего пакета, анализируя подпись, встроенную в файл *.changes.

Вызов mini-dinstall на самом деле запускает демон в фоне. Пока этот демон работает, он будет проверять наличие новых пакетов в каталоге incoming/ каждые полчаса; когда прибывает новый пакет, он будет перемещён в архив, и файлы Packages.gz and Sources.gz создадутся заново. Если запуск демона проблематичен, mini-dinstall можно также вызывать вручную в пакетном режиме (с опцией -b) каждый раз, когда пакет загружается в каталог incoming/. Другие возможности, предоставляемые mini-dinstall, документированы на странице руководства mini-dinstall(1).

ДОПОЛНИТЕЛЬНО Создание подписанного архива

Комплект APT проверяет цепочку криптографических подписей пакетов, которые он обрабатывает перед их установкой, в целях проверки их подлинности (см. Раздел 6.6, «Проверка подлинности пакета»). Частные архивы APT поэтому могут создать проблему, так как машины, использующие их, будут постоянно выводить предупреждения о наличии неподписанных пакетов. Поэтому прилежный администратор увязывает частные архивы с безопасным механизмом APT.

Для помощи в этом процессе в mini-dinstall есть опция конфигурации release_signscript, которая позволяет задать сценарий, используемый для генерации подписи. Хорошей отправной точкой является сценарий sign-release.sh, предоставляемый пакетомmini-dinstall в каталоге /usr/share/doc/mini-dinstall/examples/; локальные изменения могут быть уместны.