Login Logout

HowtoDebian/Repository

Cette page a été importée automatiquement de notre ancien wiki mais n’a pas encore été révisée.

How to Repository

Il peut parfois être intéressant de disposer d’un dépôt Debian privé pour distribuer des packages qui ne sont pas prêts à être ajoutés à l’archive de Debian ou alors qui ne sont pas d’intérêt public.

Il existe plusieurs manières de monter un dépôt Debian. Ce tutoriel explique comment monter un dépôt simple à utiliser avec reprepro.

Installer & configurer reprepro

Avant de commencer, il est nécessaire d’installer reprepro:

# sudo apt install reprepro

Générer une clef GPG

Nous souhaitons que nos packages soient automatiquement signés lorsque l’on les ajoute à notre dépôt. Cela permet de vérifier qu’ils proviennent bel et bien de notre archive. Pour ce faire, il va être nécessaire de générer une clef GPG.

Le user avec lequel nous allons créer la clef sera celui avec lequel vous manipulerez votre dépôt. Avant de créer une clef GPG, vous devriez vous assurer de configurer GPG de manière sécuritaire. Si vous utilisez le gpg.conf par défaut, apt-get affichera des erreurs quand les gens tenteront de télécharger des packages de votre dépôt.

Un excellent guide écrit par Daniel Kahn Gillmor - maintainer GPG dans Debian - est “disponible ici”. Si vous ne souhaitez pas lire le guide d’un bout à l’autre, il est possible de “télécharger ce fichier” et le mettre dans ~/.gnupg/gpg.conf. Il regroupe l’ensemble des pratiques recommandées par le guide.

Une fois que vous vous êtes assuré d’avoir une configuration adéquate, il vous faut générer votre clef. Si vous êtes connectés sur un serveur headless, il vous faut rouler les commandes suivantes pour avoir assez d’entropie:

# sudo apt install rng-tools
# sudo rngd -r /dev/urandom

On génère par la suite notre clef. Voici quelques éléments important:

  • Il est important de ne pas ajouter de “Comment” quand GPG nous le demande
  • Pour un dépôt, on choisi normalement une clef de type RSA en mode signature seulement
  • On choisi une clef la plus longue possible, soit 4096
# gpg2 --gen-key

Une fois que vous avez créé votre clef, vous pouvez afficher son fingerprint (vous en aurez besoin pour continuer la configuration de reprepro) ainsi:

# gpg2 --list-secret-keys

> Key fingerprint = 677F 54F1 FA86 81AD 8EC0  BCE6 7AEA C4EC 6AAA 0A97

Configurations

Nous allons placer notre dépôt Debian dans /var/www/repos. Si vous souhaitez le placer ailleurs, il suffit d’adapter les instruction suivantes en y remplaçant l’emplacement que vous avez choisi.

# sudo mkdir -p /var/www/repos/debian/conf

On crée par la suite /var/www/repos/debian/conf/distributions, le fichier qui servira a reprepro à identifier les différentes versions de Debian à distribuer. Le fichier devrait parler de lui-même. Pour chaque version de Debian, on ajoute un bloc supplémentaire à la fin du fichier. N’oubliez pas de:

  • remplacer le fingerprint GPG par le vôtre
  • spécifier les architectures que vous souhaitez supporter
Origin: Evolix public repository
Label: Evolix public repository
Codename: jessie
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97

Origin: Evolix public repository
Label: Evolix public repository
Codename: wheezy
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97

Origin: Evolix public repository
Label: Evolix public repository
Codename: squeeze
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97

Origin: Evolix public repository
Label: Evolix public repository
Codename: kernel
Architectures: i386 amd64 armhf
Components: main
Description: Evolix public repository
SignWith: 677F54F1FA8681AD8EC0BCE67AEAC4EC6AAA0A97

Finalement, on créé /var/www/repos/debian/conf/options, un fichier d’options pour se simplifier la vie:

verbose
basedir /var/www/repos/debian
ask-passphrase

Pour que les gens puissent profiter de votre dépôt signé, n’oubliez pas d’exporter votre clef GPG publique et de la rendre accessible:

# gpg2 --armor --output /var/www/repos/debian/ma_clef.gpg.asc --export <fingerprint>

Et voilà! reprepro est prêt à être utilisé!

Apache

Pour que votre dépôt soit disponible en ligne, nous allons ajouter un VHost à un serveur apache. Attention! apache nécessite souvent une configuration plus étoffée que celle de l’installation par défaut pour être utilisé de manière sécuritaire! Plus d’informations sur apache [/wiki/HowtoLAMP/Apache ici].

Une fois qu’apache est installé, on crée un nouveau VHost dans /etc/apache2/sites-available/repository.conf:

<VirtualHost *:80>
	ServerName mondepot.fqdn.org

	ServerAdmin foo@bar.org
	DocumentRoot /var/www/repos

	ErrorLog ${APACHE_LOG_DIR}/error.log

	<Directory /var/www/repos/ >
        	# We want the user to be able to browse the directory manually
        	Options Indexes FollowSymLinks Multiviews
                Require all granted
	</Directory>

	<Directory "/var/www/repos/debian/db/">
                Require all denied
	</Directory>

	<Directory "/var/www/repos/debian/conf/">
                Require all denied
	</Directory>

	<Directory "/var/www/repos/debian/incoming/">
                Require all denied
	</Directory>

</VirtualHost>

Il ne suffit plus qu’à activer le VHost et relancer apache:

# sudo a2ensite /etc/apache2/sites-available/repository.conf
# sudo service apache2 reload

Bien évidemment, il vous sera nécessaire de rediriger le DNS du nom de domaine que vous avez choisi vers votre serveur apache.

Ajouter des packages à son dépôt

Votre dépôt est maintenant en ligne, mais est toujours vide. Pour y ajouter des packages, lancez la commande suivante:

# reprepro -b /var/www/repos/debian includedeb jessie mon_super_package.deb

reprepro vous demande alors le mot de passe de votre clef GPG, signe votre package, crée les dossiers nécessaires et génère tous les fichiers pour vous.

Vous avez maintenant un dépôt Debian!

Télécharger des packages à partir du dépôt

Pour télécharger des packages de votre archive, il est tout d’abord nécessaire d’installer la clef GPG qui a servi à signer les packages:

# apt-key adv --fetch-key <http://mondepot.fqdn.org/debian/ma_clef.gpg.asc>

Une fois que cela est fait, il ne vous reste plus qu’à ajouter votre dépôt dans /etc/apt/sources.list:

deb <http://mondepot.fqdn.org/debian/> jessie main

Particularités importantes

Parce que reprepro se veut un utilitaire simple créer des dépôts Debian (comparé à dak ou encore mini-dak), certaines choses ne sont pas possible:

  • Il n’est pas possible d’avoir plusieurs versions du même package dans une même distribution. La version plus ancienne est automatiquement remplacée par la plus récente. Il est cependant possible d’avoir des versions différentes pour chaque distribution.
  • Un package ne peut pas avoir la même version dans plusieurs distributions tout en ayant un SHAsum différent. Dans ce cas, il est nécessaire de changer la version du package pour les distinguer (ex. 1.3.3-1+jessie sur jessie et 1.3.3-1+wheezy sur wheezy). Ceci n’est cependant pas un problème si le package est le même (même SHAsum) à travers plusieurs distributions.