Ich habe eine lokale Paketquelle die ich dazu nutze Aktualisierungen einzuspielen, die von einem anderen Rechner mit stärkerer Internetanbindung stammen. Die Vorgehensweise richtet sich nach der im "Wiki apt-Kommandos" beschriebenen Methode mit den Befehlen
apt-ftparchive packages apt-ftparchive release
eine "Packages" und eine "Release" Datei im Ordner mit den Paketen anzulegen. Das Ganze wird dann in Synaptic der Paketverwaltung bekannt gemacht mit der "deb file:/....." Zeile. Das funktioniert auch soweit bis auf zwei Probleme (siehe das andere Problem "Merwürdigkeit der Packages Datei").
Also folgende Befehle:
zx@zx-Sat:~$ sudo apt-ftparchive packages /home/zx/yy > /home/zx/yy/Packages zx@zx-Sat:~$ sudo apt-ftparchive release /home/zx/yy > /home/zx/yy/Release
erzeugen die beiden Dateien "Packages" und "Release"
Beim Neu Laden der Indexdateien kommt die Meldung:
The repository 'file:/home/zx/yy ./ Release' is not signed.Data from such a repository can't be authenticated and is therefore potentially dangerous to use.See apt-secure(8) manpage for repository creation and user configuration details.
Mir ist bekannt, dass die Release Datei signiert werden muß, aber ich weiß nicht wie man das macht. Ich habe in der Schlüsselverwaltung sowohl einen RSA als auch einen DSA Schlüssel erstellt und kann damit zwar die Release Datei signieren nach verschiedenen Verfahren (signieren und komprimieren oder abgetrennte Signatur),aber die Paketverwaltung nimmt das nicht an, d.h. die Meldung kommt nach wie vor. Auch wenn ich den Schlüssel in die Authentifizierung importiere. Was mache ich falsch?
Ich habe mich auch durch diverse wiki-apt's, GPG's und man-pages durchgearbeitet, finde aber dort keinen konkreten Hinweis. Ich könnte natürlich auch ohne die Signatur arbeiten, was ich z.Z. auch mache, aber das Problem ist dabei, dass die Paketverwaltung das zwar einliest, aber beim Versuch ein Paket aus der lokalen Paketquelle zu installieren immer nach der Internetverbindung sucht, die aber (meistens) nicht vorhanden ist. Die lokale Paketquelle ist in der "sources.list" Datei schon ganz oben eingetragen, aber das hilft auch nicht. Wenn man jedoch die Internetquellen (ich meine den UBUNTU Server) deaktiviert unter Verlust des ganzen Index, dann bleibt nur noch die lokale Quelle übrig, und dann geht es. Meine Vermutung ist, dass die fehlende Signatur die lokale Quelle sozusagen gleichwertig machen würde und Installationen von dort auch bei aktivierten Internetquellen möglich sind. Da würde ich gerne hinkommen, also wie signiere ich richtig?