未来から過去へ表示(*) 2019年8月12日
独自のaptサーバー - その3 - aptの信頼システム
目次: apt
Packagesには各Debianパッケージのハッシュ値が記述されていて、悪意ある者がDebianパッケージを改変しても検知できるようになっています。ReleaseにはPackagesのハッシュ値が記述されていて、Packagesを改変されても検知できるようになっています。
Releaseの改変に対しては、サーバーの作成者が署名を付け、Releaseが作成時から改変されていないことを保証します。
パッケージ(*.deb) <--(ハッシュ値)-- Packages <--(ハッシュ値)-- Release <--(署名)-- InReleaseもしくはRelease.gpg
保証の関係を図示すると上記のとおりです。前回のapt-get updateのエラーメッセージはInReleaseもしくはRelease.gpgが存在しない、もしくは、あっても信頼できない署名だと言って怒っているのです。
秘密鍵、公開鍵の作成
最初からapt-getに信頼されている鍵は公式サーバーが使っている鍵ですが、当然ながら私は知りません。ですので、
- 秘密鍵、公開鍵を作成
- 自作した鍵をaptに信用してもらう
- 自作した鍵でReleaseファイルに署名
という手順を取ります。
自分用の秘密鍵、公開鍵を作成
# gpg --gen-key gpg (GnuPG) 2.2.12; Copyright (C) 2018 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Note: Use "gpg --full-generate-key" for a full featured key generation dialog. GnuPG needs to construct a user ID to identify your key. Real name: ...
名前やメールアドレスを聞かれるので適宜答えてください。途中でパスフレーズを聞かれます。今回はテストなので、名前はTest User、パスフレーズはabcd1234にしました。
自作した鍵をaptに信用してもらう
自作した鍵をaptに信用してもらうには、公開鍵(秘密鍵ではありません)をaptの信頼済み鍵束に登録します。
自分用の公開鍵をエクスポートしaptに登録
# gpg --list-keys
/root/.gnupg/pubring.kbx
------------------------
pub rsa3072 2019-08-11 [SC] [expires: 2021-08-10]
A24D479395FF7F2B4A787D29439D445DCA4AF8F6 ★このIDを指定する
uid [ultimate] Test User
sub rsa3072 2019-08-11 [E] [expires: 2021-08-10]
# mkdir /var/www/linux/debian/gpg
# gpg --export A24D479395FF7F2B4A787D29439D445DCA4AF8F6 > /var/www/linux/debian/gpg/public.key
# curl http://192.168.1.1/linux/debian/gpg/public.key | apt-key add -
# apt-key list
/etc/apt/trusted.gpg
--------------------
pub rsa3072 2019-08-11 [SC] [expires: 2021-08-10]
A24D 4793 95FF 7F2B 4A78 7D29 439D 445D CA4A F8F6 ★自作の鍵が追加された
uid [ unknown] Test User
sub rsa3072 2019-08-11 [E] [expires: 2021-08-10]
/etc/apt/trusted.gpg.d/debian-archive-buster-automatic.gpg
----------------------------------------------------------
pub rsa4096 2019-04-14 [SC] [expires: 2027-04-12]
80D1 5823 B7FD 1561 F9F7 BCDD DC30 D7C2 3CBB ABEE
uid [ unknown] Debian Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>
sub rsa4096 2019-04-14 [S] [expires: 2027-04-12]
/etc/apt/trusted.gpg.d/debian-archive-buster-security-automatic.gpg
-------------------------------------------------------------------
pub rsa4096 2019-04-14 [SC] [expires: 2027-04-12]
5E61 B217 265D A980 7A23 C5FF 4DFA B270 CAA9 6DFA
uid [ unknown] Debian Security Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>
sub rsa4096 2019-04-14 [S] [expires: 2027-04-12]
...
自分で作った鍵ペアのうち、公開鍵をgpg --exportでファイルにエクスポートし、HTTPサーバーに配置します。公開鍵ファイルをapt-key addで信頼済みの鍵束に追加します。
今回作成した鍵はテストが終わったら不要なのでapt-key del ’キーID’ で削除してください。apt-key listで出てきたキーIDをコピペすれば良いです(スペースもそのまま入れてOK)。
自作した鍵でReleaseファイルに署名する
最後にReleaseファイルに署名します。Releaseファイルの署名には2種類あって、署名をReleaseファイルと一緒に書くInReleaseファイルと、署名だけを別に書くRelease.gpgファイルがあります。
InReleaseだけ作成すれば機能するようですが、とりあえず両方の作り方を紹介しておきます。
Releaseの署名を作成する
### GnuPGでReleaseファイルに署名
# echo -n "abcd1234" | gpg --batch --passphrase-fd 0 --pinentry-mode loopback --clearsign -o InRelease Release
# echo -n "abcd1234" | gpg --batch --passphrase-fd 0 --pinentry-mode loopback -abs -o Release.gpg Release
# chmod 644 Release InRelease Release.gpg
署名が完了したらapt-get updateしてみましょう。
Releaseの署名を作成する
# apt-get update Get:1 http://192.168.1.1/linux/debian buster InRelease [3941 B] Hit:2 http://ftp.jp.debian.org/debian testing InRelease Get:3 http://192.168.1.1/linux/debian buster/stable amd64 Packages [1752 B] Get:4 http://192.168.1.1/linux/debian buster/stable amd64 Contents (deb) [1242 B] Fetched 6935 B in 0s (25.7 kB/s) Reading package lists... Done
うまくいきました。apt-get install docker-ceを実行すると、、、
apt-getを実行
# apt-get install docker-ce Reading package lists... Done Building dependency tree Reading state information... Done Package docker-ce is not available, but is referred to by another package. This may mean that the package is missing, has been obsoleted, or is only available from another source However the following packages replace it: docker-ce-cli E: Package 'docker-ce' has no installation candidate
どうやら依存関係を無視してDockerのパッケージを1つしか登録しなかったため、依存関係のエラーが出てしまったようです。
他のパッケージ(docker-ce_cli, container.io)もダウンロードしましょう。pool/stable/amd64の下に追加し、apt-ftparchiveと署名をやり直します。
依存するパッケージを追加
linux
|-- conf
| |-- apt_generate_debian_buster.conf
| `-- apt_release_debian_buster.conf
`-- debian
|-- dists
| `-- buster
| |-- InRelease
| |-- Release
| |-- Release.gpg
| |-- packages-amd64.db
| |-- pool
| | `-- stable
| | `-- amd64
| | |-- containerd.io_1.2.6-3_amd64.deb
| | |-- docker-ce-cli_19.03.1~3-0~debian-buster_amd64.deb
| | `-- docker-ce_19.03.1~3-0~debian-buster_amd64.deb
| `-- stable
| |-- Contents-amd64
| |-- Contents-amd64.bz2
| |-- Contents-amd64.gz
| `-- binary-amd64
| |-- Packages
| |-- Packages.bz2
| `-- Packages.gz
`-- gpg
`-- public.key
10 directories, 16 files
以上のようなディレクトリ構成になるはずです。もう一度apt-get install docker-ceしてみましょう。
再びapt-getを実行
# apt-get install docker-ce Reading package lists... Done Building dependency tree Reading state information... Done The following additional packages will be installed: aufs-dkms aufs-tools cgroupfs-mount containerd.io docker-ce-cli Suggested packages: aufs-dev The following NEW packages will be installed: aufs-dkms aufs-tools cgroupfs-mount containerd.io docker-ce docker-ce-cli 0 upgraded, 6 newly installed, 0 to remove and 0 not upgraded. Need to get 0 B/88.0 MB of archives. After this operation, 390 MB of additional disk space will be used. Do you want to continue? [Y/n] Selecting previously unselected package aufs-dkms. (Reading database ... 325385 files and directories currently installed.) Preparing to unpack .../0-aufs-dkms_4.19+20190211-1_all.deb ... Unpacking aufs-dkms (4.19+20190211-1) ... Selecting previously unselected package aufs-tools. Preparing to unpack .../1-aufs-tools_1%3a4.14+20190211-1_amd64.deb ... Unpacking aufs-tools (1:4.14+20190211-1) ... Selecting previously unselected package cgroupfs-mount. Preparing to unpack .../2-cgroupfs-mount_1.4_all.deb ... Unpacking cgroupfs-mount (1.4) ... Selecting previously unselected package containerd.io. Preparing to unpack .../3-containerd.io_1.2.6-3_amd64.deb ... Unpacking containerd.io (1.2.6-3) ... Selecting previously unselected package docker-ce-cli. Preparing to unpack .../4-docker-ce-cli_5%3a19.03.1~3-0~debian-buster_amd64.deb ... Unpacking docker-ce-cli (5:19.03.1~3-0~debian-buster) ... Selecting previously unselected package docker-ce. Preparing to unpack .../5-docker-ce_5%3a19.03.1~3-0~debian-buster_amd64.deb ... Unpacking docker-ce (5:19.03.1~3-0~debian-buster) ... Setting up aufs-tools (1:4.14+20190211-1) ... Setting up containerd.io (1.2.6-3) ... Created symlink /etc/systemd/system/multi-user.target.wants/containerd.service -> /lib/systemd/system/containerd.service. Setting up docker-ce-cli (5:19.03.1~3-0~debian-buster) ... Setting up aufs-dkms (4.19+20190211-1) ... Loading new aufs-4.19+20190211 DKMS files... Building for 4.19.0-5-amd64 Building initial module for 4.19.0-5-amd64 Done. ...
以上のようにapt-getもうまくいきました。良かった良かった。
コメント一覧
- コメントはありません。
この記事にコメントする
2019年8月11日
独自のaptサーバー - その2 - apt-ftparchiveの設定、実行
目次: apt
WebサーバーあるいはFTPサーバーでDebianパッケージを配布する場合、*.debファイル以外にContents, Package, Releaseファイルが必要です。これらのファイルを作成するためのツールがapt-ftparchiveです。
今回はHTMLサーバーで配布することを考えます。Debianだと /var/wwwがルートディレクトリになっていることが多いと思います。以降 /var/wwwがルートディレクトリだとします。
ディレクトリ構成は前回紹介(2019年8月11日の日記参照)したDockerのディレクトリ構成に習うとします。Debianパッケージはどんなファイルでも良いです(後ほどテストするときのためamd64向けのパッケージのほうが良いです)が、今回はDockerのパッケージを1つダウンロードしてきて試します。
HTMLサーバーのルートディレクトリ、*.debファイルの置き場所
# cd /var/www
# tree linux
linux
|-- conf
| |-- apt_generate_debian_buster.conf
| `-- apt_release_debian_buster.conf
`-- debian
`-- dists
`-- buster
|-- pool
| `-- stable
| `-- amd64
| `-- docker-ce_19.03.1~3-0~debian-buster_amd64.deb
`-- stable
`-- binary-amd64
9 directories, 3 files
Debianパッケージのみを配置した後のディレクトリ構造は上記のようになります。
apt-ftparchiveの設定ファイル
設定ファイルはapt_generate_debian_buster.confとapt_release_debian_buster.confと2つを使います。前者はディレクトリ構造を指定するファイルで、apt-ftparchive generateの引数に指定します。後者はリリース情報(ラベル、オリジナルなど)を指定するファイルで、apt-ftparchive releaseの -cオプションに指定します。
各設定ファイルの書き方を紹介します。
apt_generate_debian_buster.conf
Dir::ArchiveDir ".";
Dir::CacheDir "dists/buster";
Default::Packages::Compress ". gzip bzip2";
Default::Packages::Extensions ".deb";
Default::Sources::Compress ". gzip bzip2";
Default::Contents::Compress ". gzip bzip2";
Default::FileMode 0644;
TreeDefault::Directory "dists/buster/pool/stable/amd64";
TreeDefault::Packages "dists/buster/stable/binary-amd64/Packages";
Tree "dists/buster" {
Sections "stable";
Architectures "amd64";
};
BinDirectory "dists/buster/stable/binary-amd64" {
Packages "dists/buster/stable/binary-amd64/Packages";
Contents "dists/buster/stable/Contents-amd64";
};
この設定ファイルにはいくつかディレクトリパスが登場します。パスはapt-ftparchiveを実行するディレクトリ(/var/www/linux/buster)からの相対パスで記述します。
Tree::SectionsとTree::Architecturesは少し特殊で、ディレクトリパスの一部を構成します。{Tree}/{Sections} ディレクトリにContentsファイルが作成され、{Tree}/{Sections}/{Architectures} ディレクトリにPackagesファイルが作成されます。
apt_generate_debian_buster.confで複数のSectionsを指定
...
Tree "dists/buster" {
Sections "stable testing";
Architectures "amd64";
};
上記のようにTree::Sectionsには複数のセクションが指定でき、Tree::Architecturesには複数のアーキテクチャが指定できるはずですが、今のところTreeDefault::Packagesとの対応がよくわからず、使いこなせていません。複数のセクションを同時に指定する手段が見つかったら、また日記で書こうと思います。
apt_release_debian_buster.conf
APT::FTPArchive::Release {
Architectures "amd64";
Components "stable";
Label "Test Label";
Origin "Test";
Suite "buster";
};
リリース情報を記述するファイルは上記のように書きます。APT::FTPArchive::Releaseには他のフィールドも記述できます。apt-ftparchiveのreleaseコマンドのヘルプ(リンク)によると「Origin, Label, Suite, Version, Codename, Date, NotAutomatic, ButAutomaticUpgrades, Acquire-By-Hash, Valid-Until, Signed-By, Architectures, Components, Description」が指定できるとのことですが、意味が説明されておらず、何を書くべきなのかわかりません……。
apt-ftparchiveの実行
設定ファイルを記述した後はapt-ftparchiveを実行して、Debianパッケージの情報について記述したContents, Packages, Releaseの各ファイルを作成します。
apt-ftparchiveを実行
# export TARGET=debian
# export DIST=buster
# export SECT=stable
# export ARCH=amd64
# mkdir -p /var/www/linux/${TARGET}/dists/${DIST}/${SECT}/binary-${ARCH}
# mkdir -p /var/www/linux/${TARGET}/dists/${DIST}/pool/${SECT}/${ARCH}
### *.debファイルをコピーする(モジュールによってコピー元は違うと思うので、これは一例)
### cp *.deb /var/www/linux/${TARGET}/dists/${DIST}/pool/${SECT}/${ARCH}
### Packages, Contentsファイルを作る
### linux/debianの下でapt-ftparchiveを実行しないと *.debが見つからないといわれる
# cd /var/www/linux/${TARGET}
# find . -name "Contents-*" -or -name "Contents-*.*" | xargs rm -f
# find . -name "Packages" -or -name "Packages.*" -or -name "packages-*" | xargs rm -f
# find . -name Release -or -name Release.gpg -or -name InRelease | xargs rm -f
# apt-ftparchive generate ../conf/apt_generate_${TARGET}_${DIST}.conf
### Releaseファイルを作る
### linux/debian/dists/busterの下でapt-ftparchiveを実行しないと、
### 後ほどapt-getを実行した際にパッケージが見つからないといわれる
# cd /var/www/linux/${TARGET}/dists/${DIST}
# apt-ftparchive release -c=../../../conf/apt_release_${TARGET}_${DIST}.conf . > Release
作成手順は以上のような感じですが、かなりパスに依存した動きで癖が強いです。正直言ってわかりにくいです。
apt-ftparchiveの実行後
# tree linux
linux
|-- conf
| |-- apt_generate_debian_buster.conf
| `-- apt_release_debian_buster.conf
`-- debian
`-- dists
`-- buster
|-- Release
|-- packages-amd64.db
|-- pool
| `-- stable
| `-- amd64
| `-- docker-ce_19.03.1~3-0~debian-buster_amd64.deb
`-- stable
|-- Contents-amd64
|-- Contents-amd64.bz2
|-- Contents-amd64.gz
`-- binary-amd64
|-- Packages
|-- Packages.bz2
`-- Packages.gz
コマンド実行後、Contents, Packages, Releaseファイルが生成され、上記のように配置されます。
独自aptサーバー完成ならず?
Contents, Packages, Releaseファイルがあればapt-getにaptサーバーとして認識してもらえるはずです。
/etc/apt/sources.listに独自aptサーバーを追加
deb [arch=amd64] http://192.168.1.1/linux/debian/ buster stable
適当なDebianマシンのaptの設定ファイルに、さきほど作成した独自aptサーバーを追加し apt-get updateを実行します。HTTPサーバーのIPアドレスは192.168.1.1とします。
独自aptサーバーに対してapt-getを実行
# apt-get update Ign:1 http://192.168.1.1/linux/debian buster InRelease Get:2 http://192.168.1.1/linux/debian buster Release [3233 B] Ign:3 http://192.168.1.1/linux/debian buster Release.gpg Hit:4 http://ftp.jp.debian.org/debian testing InRelease Reading package lists... Done E: The repository 'http://192.168.1.1/linux/debian buster Release' is not signed. N: Updating from such a repository can't be done securely, and is therefore disabled by default. N: See apt-secure(8) manpage for repository creation and user configuration details.
残念ながらエラーになりました……。
Contents, Packages, Releaseファイルを作成しても終わりではありません。aptには悪意ある者がDebianパッケージを改変しても検知できる仕組みが搭載されていて、その対応をしないと「信用できないリポジトリ」だといわれてエラーになります。
(追記)下記が間違っていたので直しました。
apt_generate_debian_buster.confの修正
(誤)
TreeDefault::Directory "dists/buster/pool/stable/stable/amd64";
(正)
TreeDefault::Directory "dists/buster/pool/stable/amd64";
コメント一覧
- コメントはありません。
この記事にコメントする
2019年8月10日
独自のaptサーバー - その1 - ディレクトリ構成
目次: apt
会社で独自のDebianパッケージを配布する際に、難しくてかなり困ったので、下調べの結果を兼ねてメモしておきます。
やりたいこととしては、独自に作成したDebianパッケージ(*.debファイル)を、
- 複数のOS: Debian, Ubuntuなど
- 複数の版: stable, testing, nightlyなど
- 複数のアーキテクチャ: amd64, arm64など
この3つをどのように組み合わせても対応できるような、ディレクトリ構成と、aptサーバーの設定を作成することです。
Dockerが参考になる
ディレクトリ構成は、最初から考えるのは大変なので、参考としてDockerのaptリポジトリ(リンク)を見てみます。
Dockerのaptリポジトリサーバー
debian/
dists/
buster/ : Debian 10.0
edge/ : なんだろ?
nightly/ : 1日ごとにビルドされた版
pool/ : *.debが入っているディレクトリ
stable/ : 安定版
test/ : テスト版?
jessie/ : Debian 8.0
stretch/ : Debian 9.0
wheezy/ : Debian 7.0
gpg : GnuPGの公開鍵、apt-keyで追加する
ubuntu/
dists/
artful/ : Ubuntu 17.10
bionic/ : Ubuntu 18.04 LTS
cosmic/ : Ubuntu 18.10
disco/ : Ubuntu 19.04
trusty/ : Ubuntu 14.04 LTS
xenial/ : Ubuntu 16.04 LTS
yakkety/ : Ubuntu 16.10
zesty/ : Ubuntu 17.04
gpg : GnuPGの公開鍵、apt-keyで追加する
こんな作りになっています。debian/distsもしくはubuntu/distsの下に各バージョンのコードネームが並んでいます。例えばdebian/dists/busterであればDebian 10.0用です。
コードネームのディレクトリの下には、各版stable, test用のディレクトリが並んでいます。poolディレクトリは版名ではなくて、パッケージファイル *.debを格納するディレクトリです。
Debian 10.0用のディレクトリ以下
debian/
dists/
buster/ : Debian 10.0
edge/ : なんだろ?
nightly/ : 1日ごとにビルドされた版
binary-amd64/ : PC, 64bit用パッケージ情報
Packages : パッケージ一覧
binary-arm64/ : AArch64用パッケージ情報
binary-armhf/ : AArch32用パッケージ情報
Contents-amd64 : PC, 64bit用
Contents-arm64 : AArch64用
Contents-armhf : AArch32用
pool/ : *.debが入っているディレクトリ
edge/ : stableと同じ構成
nightly/ : stableと同じ構成
stable/
amd64/ : PC, 64bit用 *.deb
arm64/ : AArch64用 *.deb
armhf/ : AArch32用 *.deb
test/ : stableと同じ構成
stable/ : 安定版
test/ : テスト版
InRelease : GnuPGの署名が追記されたReleaseファイル
Release : Contents, PackagesのSHAハッシュ一覧が書かれたファイル
Release.gpg : GnuPGの署名だけ書かれたファイル
Debian向けとUbuntu向けはほぼ同じ構成です。
コメント一覧
- コメントはありません。
この記事にコメントする
2019年7月30日
ヘッドフォンの謎のノイズ
オーディオは専門ではないし、神の耳も持っていないので、細かい音質うんぬんは全くわからないし、高級○○ケーブルなどはオカルトの一種とすら思っていますが……。
音質で唯一体験したことを思い出したので、メモしておきます。
以前はテレビのファーム開発をしていたため、職場ではテストのために少し良い(1万円〜2万円レベルの)ヘッドホン(SHURE SRH440-A)を使っていました。
何も鳴らしていないのに、ヘッドホンからたまにブーン……という微かなノイズと、バリ、バリ!という大きめのノイズが聞こえていました。
スマホとヘッドフォン
最初、評価ボードか機材の故障を疑っていたのですが、なんと原因は自分のスマホでした。
前者のブーン……ノイズは、ヘッドホンのケーブルをくるくると丸めて束ねた上に、スマホを置いていたため、スマホの電波を拾ってノイズになっていたようです。
たまにしか鳴らないのは、パケット通信のときしか強く電波を発しないからですかね?スマホを机の上に置かないようにしたらノイズは聞こえなくなりました。
家の安いヘッドホンで同じことをしても、ノイズは聞こえなかったので、感度の良いヘッドホンじゃないと拾わない(?)のかもしれません。
後者のバリバリ!ノイズは、ヘッドホンアンプの上にスマホを置きっぱにしたときに鳴っていました。ノイズを増幅するのか、かなり目立つバリバリ音が聞こえていました。
これもスマホとアンプを遠ざけて置くことで、ノイズが消えました。
謎が解ければ何てこと無い原因でしたけど、最初はわからなくて、このヘッドフォン壊れているんだろうか?不良品かしら……?とか思っていました。冤罪でした、ごめんねヘッドホンさん。
タチの悪い内蔵音源
音質でもう一つ思い出したのが、先代ノートPC(ThinkPad Edge E420)のアナログオーディオ出力は、常にシューシューというノイズが聞こえていたことです。
2010年は遥かに過ぎて、こんなにノイズが鳴るオーディオがあるはずない、聞き間違いだろうと思いきや、安物のオシロで見てもすぐわかるくらいノイズが載っていてショックでした。Conexantさん勘弁してよ……と思いました。
測定結果は、以前の日記に書いています(2014年10月18日の日記参照)。あれからもう五年も経ったのか。早いものだ。
メモ: 技術系?の話はFacebookから転記しておくことにした。リンクなどを追記。
コメント一覧
- コメントはありません。
この記事にコメントする
| < | 2019 | > | ||||
| << | < | 08 | > | >> | ||
| 日 | 月 | 火 | 水 | 木 | 金 | 土 |
| - | - | - | - | 1 | 2 | 3 |
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
こんてんつ
wiki Linux JM Java API過去の日記
2002年 2003年 2004年 2005年 2006年 2007年 2008年 2009年 2010年 2011年 2012年 2013年 2014年 2015年 2016年 2017年 2018年 2019年 2020年 2021年 2022年 2023年 2024年 過去日記についてその他の情報
アクセス統計 サーバ一覧 サイトの情報
合計:
本日:
