[技术博客] nginx 部署 apt 源

出于各种各样的原因，有时需要自己配置apt源，比如发布自己编写的debian软件包，内网中只有一台电脑可以访问外网，或者在本地配置自己的apt源。我们已有自己的包，需要发布，让终端上的app能够通过url get到。

参考：

安装部署工具

  sudo apt-get install dpkg-dev
  sudo apt-get install apache2 # 如果使用nginx: sudo apt-get install nginx
  sudo apt-get install dpkg-sig

创建软件库目录

Note:如果没有在/var/www目录下创建仓库，那么就需要创建一个软链接把自己的仓库链接到这个目录

比如: 假设是在/home/目录下:

sudo ln -s ~/repository_dir /var/www/repository_dir

 sudo mkdir -p repository_dir/dists/stable/main/binary

把已有的deb文件导入到二进制文件目录:

 sudo mv location_of_package/package_name.deb

签名加密仓库

你也可以选择不进行签名加密，这样apt-get update时会报warning, apt update会报error.

创建 gpg 密钥:

  gpg --gen-key

由于我们仅使用密钥来生成数字签名，因此使用RSA可以获得最大的安全性。

  Please select what kind of key you want:
     (1) RSA and RSA (default)
     (2) DSA and Elgamal
     (3) DSA (sign only)
     (4) RSA (sign only)
  Your selection? 4
  RSA keys may be between 1024 and 4096 bits long.
  What keysize do you want? (2048) 4096 # 这里可选, 1024 ~ 4096 皆可
  Requested keysize is 4096 bits

有效期选择密钥不会过期

Please specify how long the key should be valid.
           0 = key does not expire
        <n>  = key expires in n days
        <n>w = key expires in n weeks
        <n>m = key expires in n months
        <n>y = key expires in n years
  Key is valid for? (0) 0
  Key does not expire at all
  Is this correct? (y/N) y

给出新密钥的名称:

  You need a user ID to identify your key; the software constructs the user ID from the Real Name, Comment and Email Address in this form:
      "Zaphod Beeblebrox (Galactic President) <zbeeblebrox@pres.galaxy.com>"
  Real name: Repository # 这里，给出新密钥的名称
  Email address:
  Comment:
  You selected this USER-ID:
      "Repository"
  Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O

您需要密码来保护您的密钥。一定要选择一个你会记得的。之后会开始生成密码，在过程中可能会有提示熵不够

比如:

**We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy. # 需要足够的熵，随便做点啥吧。
Not enough random bytes available.  Please do some other work to give
the OS a chance to collect more entropy! (Need 210 more bytes)**

但是实际上，不论怎么操作，我们也只获得了少量的熵。可以开启另外一个terminal, 输入如下命令来制造足够的熵：

dd if=/dev/sda of=/dev/zero # 从硬盘/sda 读取内容并丢弃输出到/dev/zero

然后就可以正常生成密钥了。按照屏幕上的说明创建密钥。您应该获得类似于此的输出 -

  gpg: key 041DA354 marked as ultimately trusted
  public and secret key created and signed.
  gpg: checking the trustdb
  gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
  gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
  pub   4096R/041DA354 2012-06-01
        Key fingerprint = 2253 4C89 DE74 CF68 39D7  2A2E DB3E 384F 041D A354
  uid                  Repository

查看gpg密钥:

  gpg --list-keys

将生成的公钥到处到文本文件并且保存到根目录:

  sudo gpg --output keyFile --armor --export 041DA354 # 这个数字是你自己生成的密钥所对应的

使用密钥签名加密软件包：

  sudo dpkg-sig --sign builder file1.deb # 你的包
  sudo dpkg-sig --sign builder file2.deb

如果有大量的包需要签名，就需要写一写shell脚本了。

配置nginx 代理

如果是使用apache代理服务器，则跳过这步，因为此时apt 源若设定为 deb http://(xx.xx.xx.xx远程机域名或者ip)/repository_dir/dists/stable/main/binary / (binary空格/)这个url应该已经可以访问了。并且http://(xx.xx.xx.xx远程机域名或者ip)/repository_dir/dists/stable/main/binary也应该是能够直接访问的

在nginx上配置server监听80端口:

env PATH;
user XXX; # Nginx运行使用用户, 自定义
worker_processes xxx; # worker个数 可以设为auto
pid /run/nginx.pid;
events {
	worker_connections xxx;
	# multi_accept on;
}
http {
	##
	# Virtual Host Configs
	##
	server{
	    # 监听80端口
	    listen 80;
	    server_name xxx.xxx; # 域名或者Ip
    	    root /var/www/deb_dir; # apt 仓库目录
    	    charset utf-8;
      	    location /{
				autoindex on; # autoindex选项默认关闭， 一定要打开
				index index.html;
	    }
	}
}

检查配置文件正确性:

nginx -t

重载配置文件&重启nginx

nginx -s reload

Done

后续

本地机器

  sudo vi /etc/apt/sources.list

添加自己的源，(注释掉原本的源，如果不想用的话)

 deb http://xx.xx.xx.xx/repository_dir/dists/stable/main/binary / # 注意

保存之后，更新源

sudo apt-get update

Note: 如果报错"cannot find packages"

下载该仓库的公钥：

wget -O - http://10.31.31.89/repository_dir/keyFile | sudo apt-key add -

查看已经有的公钥:

apt-key list

再次更新，如果还不行，记得更新仓库的用户权限:

sudo chown user:user -R .

远程机:

创建index文件并且压缩, 压缩文件和源文件都需要有放在repo里

  # repo_dir
  apt-ftparchive packages . &gt; Packages
  gzip -c Packages &gt; Packages.gz

这个命令不大好使，我不大&gt有些奇怪，可以直接把生成的信息重定向到Packages然后再压缩

apt-ftparchive packees . > Packages

创建Release文件:

如果没有进行gpg签名加密， InRelease和Release.gpg可以不生成

  apt-ftparchive release . &gt; Release
  gpg --clearsign -o InRelease Release
  gpg -abs -o Release.gpg Release

再来一次，所有的步骤都完成后:

  sudo apt-get update
  sudo apt-get install package_name

Bingo!

Pass

nginx资源推荐:

首推: Nginx开发从入门到精通

其次: Nginx中文文档

然后: 理解 Nginx 源码

最后: 官方文档