HowtoDebian/Repository
Howto Dépôt Debian
Il peut parfois être intéressant de disposer d’un dépôt Debian privé pour distribuer des packages qui ne sont pas prêts à être ajoutés à l’archive de Debian ou alors qui ne sont pas d’intérêt public.
Il existe plusieurs manières de monter un dépôt Debian.
apt-ftparchive
Une façon “old school” est d’avoir un répertoire avec des paquets Debian dedans, exemple stretch/ puis de lancer les commandes suivantes :
$ apt-ftparchive packages stretch/ > stretch/Packages
$ apt-ftparchive sources stretch/ > stretch/Sources
$ apt-ftparchive contents stretch/ > stretch/Contents
$ apt-ftparchive -o APT::FTPArchive::Release::Codename="stretch/" release stretch/ > stretch/Release
$ gzip -f stretch/Sources
$ #gzip -f stretch/Packages
$ gzip -f stretch/ContentsPour Debian 9 (Stretch), le fichier Release doit impérativement être signé via GPG :
$ gpg -abs -o Release.gpg ReleaseLe répertoire doit ensuite être accessible en HTTP et l’on pourra ajouter à son sources.list :
deb http://pub.example.com/ stretch/reprepro
# apt install repreproOn a besoin d’une clé GPG pour signer le dépôt. Voici quelques éléments importants :
- Il est important de ne pas ajouter de “Comment” quand GPG nous le demande
- Pour un dépôt, on choisit une clé de type RSA en mode signature seulement
- On choisi une clef la plus longue possible, soit 4096
$ gpg2 --gen-keyConfiguration
Nous choisissons de placer notre dépôt Debian dans /var/www/repos :
# mkdir -p /var/www/repos/debian/confOn crée par la suite /var/www/repos/debian/conf/distributions, le fichier qui servira à reprepro pour identifier les différentes versions de Debian à distribuer. Le fichier devrait parler de lui-même. Pour chaque version de Debian, on ajoute un bloc supplémentaire à la fin du fichier. N’oubliez pas de:
- remplacer le fingerprint GPG par le vôtre
- spécifier les architectures que vous souhaitez supporter
Origin: Evolix public repository
Label: Evolix public repository
Codename: jessie
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97
Origin: Evolix public repository
Label: Evolix public repository
Codename: wheezy
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97
Origin: Evolix public repository
Label: Evolix public repository
Codename: squeeze
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97
Origin: Evolix public repository
Label: Evolix public repository
Codename: kernel
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97Finalement, on crée /var/www/repos/debian/conf/options, un fichier d’options pour se simplifier la vie :
verbose
basedir /var/www/repos/debian
ask-passphrasePour que les gens puissent profiter de votre dépôt signé, n’oubliez pas d’exporter votre clé GPG publique et de la rendre accessible :
$ gpg2 --armor --output /var/www/repos/debian/ma_clef.gpg.asc --export <fingerprint>Et voilà, reprepro est prêt à être utilisé !
Apache
Pour que votre dépôt soit disponible en ligne, nous allons ajouter un VHost Apache via /etc/apache2/sites-available/repository.conf:
<VirtualHost *:80>
ServerName debian.example.com
DocumentRoot /var/www/repos
ErrorLog ${APACHE_LOG_DIR}/error.log
<Directory /var/www/repos/ >
# We want the user to be able to browse the directory manually
Options Indexes FollowSymLinks Multiviews
Require all granted
</Directory>
<Directory "/var/www/repos/debian/db/">
Require all denied
</Directory>
<Directory "/var/www/repos/debian/conf/">
Require all denied
</Directory>
<Directory "/var/www/repos/debian/incoming/">
Require all denied
</Directory>
</VirtualHost>Ajouter des packages à son dépôt
Votre dépôt est maintenant en ligne, mais est toujours vide. Pour y ajouter des packages, lancez la commande suivante :
# reprepro -b /var/www/repos/debian includedeb jessie mon_super_package.debreprepro vous demande alors le mot de passe de votre clé GPG, signe votre package, crée les dossiers nécessaires et génère tous les fichiers pour vous.
Vous avez maintenant un dépôt Debian !
Télécharger des packages à partir du dépôt
Pour télécharger des packages de votre archive, il est tout d’abord nécessaire d’installer la clé GPG qui a servi à signer les packages :
# wget http://mondepot.fqdn.org/debian/ma_clef.gpg.asc -O /etc/apt/trusted.gpg.d/ma_clef.gpg.asc
# dos2unix /etc/apt/trusted.gpg.d/ma_clef.gpg.ascUne fois que cela est fait, il ne vous reste plus qu’à ajouter votre dépôt dans votre sources.list : ~ deb http://debian.example.com/debian/ jessie main ~
Particularités importantes
Parce que reprepro se veut un utilitaire simple créer des dépôts Debian (comparé à dak ou encore mini-dak), certaines choses ne sont pas possible :
- Il n’est pas possible d’avoir plusieurs versions du même package dans une même distribution. La version plus ancienne est automatiquement remplacée par la plus récente. Il est cependant possible d’avoir des versions différentes pour chaque distribution.
- Un package ne peut pas avoir la même version dans plusieurs distributions tout en ayant un SHAsum différent. Dans ce cas, il est nécessaire de changer la version du package pour les distinguer (ex.
1.3.3-1+jessiesur jessie et1.3.3-1+wheezysur wheezy). Ceci n’est cependant pas un problème si le package est le même (même SHAsum) à travers plusieurs distributions.
Mode miroir
Pour faire un miroir de dépôt ne proposant pas d’accès rsync, reprepro permet de faire une partie du travail.
TODO : Peut-être que debmirror serait une meilleure alternative.
Nous réutiliserons les fichiers Release (y compris leur signature d’origine), donc il n’est pas nécessaire de configurer une clef PGP pour ces dépôts (il est néanmoins utile d’obtenir la partie publique de la clef utilisée sur le dépôt d’origine pour vérifier la signature des fichiers d’origine).
Voici un exemple de la configuration pour un miroir partiel (amd64) de eLTS pour Stretch. ExportOptions: noexport permet de ne pas reconstruire le répertoire dists/.
$ head -n-1 /var/www/repos/extended-lts/conf/*
==> /var/www/repos/extended-lts/conf/distributions <==
Origin: Freexian
Label: Freexian-Extended-LTS
Suite: wheezy
Codename: wheezy-lts
Version: 7
Architectures: amd64 source
Components: main contrib non-free
Description: Extended LTS Updates for Debian 7 Wheezy
Update: wheezy-lts
Log: /var/www/repos/extended-lts/log/wheezy-lts.log
ExportOptions: noexport
==> /var/www/repos/extended-lts/conf/options <==
basedir /var/www/repos/extended-lts/
outdir /srv/mirrors/extended-lts/
gnupghome /var/www/repos/extended-lts/.gnupg
==> /var/www/repos/extended-lts/conf/updates <==
Name: wheezy-lts
Method: http://deb.freexian.com/extended-lts
Suite: wheezy
Components: main contrib non-free
Architectures: amd64 source
VerifyRelease: A07310D369055D5ALa première synchronisation (manuelle) est longue (à faire dans un screen).
$ wget https://deb.freexian.com/extended-lts/archive-key.gpg
$ gpg --homedir /var/www/repos/extended-lts/.gnupg --import archive-key.gpg
$ umask 022; reprepro --confdir /var/www/repos/extended-lts/conf updateMise à jour automatique (via cron):
$ crontab -l
1 * * * * perl -e 'sleep int(rand(1800))' && umask 022 && reprepro --silent --confdir /home/miroir/extended-lts/conf updateEnfin, comme il manque les fichiers Release avec cette méthode, un script comme le suivant permet d’en faire une copie (à lancer en cron à la suite).
#!/bin/sh
#
# Recursive copy of /dists directory for mirror without rsync
#
set -e
mirror=https://deb.freexian.com/extended-lts/dists/
# Unwanted versions i.e, directories (it’s a full mirror)
reject=wheezy\|jessie\|stretch
# Unwanted architecures
noarch=arm64\|armel\|armhf\|i386
# Number of directories to trim: All but the last
# (3: protocol, hostname and last directory).
cutdir=$(( $(echo $mirror | tr '/' ' ' | wc -w) - 3 ))
# Should not need to be changed, might be taken from URL mirror…
target=dists
# Start from scratch
rm -rf $target/
wget \
--quiet \
--recursive \
--level=inf \
--reject *.html \
--reject-regex "(/($reject)/|$noarch)" \
--no-parent \
--no-host-directories \
--cut-dirs=$cutdir \
$mirror
# Clean up temporary files
find $target/ -name index.html.tmp -delete