এখানে বেশ কয়েকটি প্রশ্ন রয়েছে যা আমি পৃথকভাবে উত্তর দেব:
কীভাবে পৃথক বাইনারি প্যাকেজ ডাউনলোড করবেন (এবং ইনস্টল করবেন না)?
apt-get কেবলমাত্র প্যাকেজটি ডাউনলোড করার বিকল্প রয়েছে:
-d Download only - do NOT install or unpack archives
আপনি ডাউনলোড প্যাকেজটি এতে খুঁজে পাবেন /var/cache/apt/archives/। এই ক্ষেত্রে আপনাকে এপিতে একটি নতুন উত্স তালিকা কনফিগারেশন যুক্ত করতে হবে।
কীভাবে পৃথক উত্স প্যাকেজ ডাউনলোড করবেন?
apt-get source <package>
অথবা আপনি যখন .dsc ফাইলের অবস্থান জানেন:
dget http://http.debian.net/debian/pool/main/k/knot/knot_1.2.0~rc3-1.dsc
উভয় পন্থা ফাইলগুলিতে স্বাক্ষর যাচাই করে
উত্সগুলিকে কীভাবে পিন করবেন akaআরফ আমি কীভাবে আমার ইনস্টলেশনটিতে গোলযোগ করব না?
আপনি ইতিমধ্যে এপিটি পিনিংয়ের প্রাথমিক বিবরণ পৃষ্ঠাটিতে ইঙ্গিত করেছেন , এবং আমি কেবল যুক্ত করব যে আপনি সম্ভবত apt_preferences ম্যানপেজটি পড়তে চান যা আপনার প্রয়োজনীয় জিনিসগুলি সম্পাদন করার জন্য সুন্দর উদাহরণও রয়েছে । বিশেষত উদাহরণস্বরূপ 'ট্র্যাকিং স্থিতিশীল' বিভাগটি দেখুন, যেহেতু এটি আপনার প্রয়োজনের খুব কাছাকাছি কিছু বর্ণনা করে:
একাধিক উত্স এবং এপিটি পিনিংয়ের সাথে খেলার সময় একটি দরকারী কমান্ড রয়েছে:
# apt-cache policy knot
knot:
Installed: 1.1.3-1~bpo60+1
Candidate: 1.2.0~rc3-1~bpo60+1
Version table:
1.2.0~rc3-1~bpo60+1 0
500 http://deb.knot-dns.cz/debian/ squeeze/main amd64 Packages
*** 1.1.3-1~bpo60+1 0
100 /var/lib/dpkg/status
1.0.5-1~bpo60+1 0
500 http://ppa.sury.org/debian/ squeeze/main amd64 Packages
এটি দেখায় যে ইনস্টল করা সংস্করণটি 1.1.3-1 ~ bpo60 + 1, এবং প্রার্থী 1.2.0 ~ rc3-1 ~ bpo60 + 1, যা পরবর্তী সময়ে ইনস্টল হবে apt-get upgrade। এছাড়াও অন্য একটি সংগ্রহস্থল থেকে কিছু পুরানো সংস্করণ উপলব্ধ।
ডেবিয়ান আর্কাইভ কী কীভাবে ডাউনলোড করবেন?
ডেবিয়ান সংরক্ষণাগার কীটি এফটিপি-মাস্টারে প্রকাশিত হয় । আপনাকে আপনার জিপিজি কীরিংয়ের মধ্যে কীটি আমদানি করতে হবে:
$ gpg --import archive-key-6.0.asc
gpg: key 473041FA: public key "Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0 valid: 9 signed: 31 trust: 0-, 0q, 0n, 0m, 0f, 9u
gpg: depth: 1 valid: 31 signed: 38 trust: 25-, 0q, 0n, 1m, 5f, 0u
gpg: depth: 2 valid: 21 signed: 31 trust: 19-, 0q, 0n, 0m, 2f, 0u
gpg: depth: 3 valid: 3 signed: 12 trust: 2-, 0q, 0n, 0m, 1f, 0u
gpg: depth: 4 valid: 1 signed: 8 trust: 1-, 0q, 0n, 0m, 0f, 0u
gpg: next trustdb check due at 2013-09-22
তারপরে আপনাকে এর স্বাক্ষরগুলি পরীক্ষা করতে হবে:
$ gpg --list-sig 473041FA
pub 4096R/473041FA 2010-08-27 [expires: 2018-03-05]
uid Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>
sig 3 473041FA 2010-08-27 Debian Archive Automatic Signing Key (6.0/squeeze) <ftpmaster@debian.org>
sig 7E7B8AC9 2010-08-27 Joerg Jaspert <joerg@debian.org>
sig P B12525C4 2010-08-27 [User ID not found]
sig D0EC0723 2010-08-27 [User ID not found]
sig 8AEA8FEE 2010-08-27 [User ID not found]
sig A3AE44A4 2010-08-28 [User ID not found]
sig 00D8CD16 2010-08-28 Alexander Reichle-Schmehl <alexander@reichle.schmehl.info>
sig CD15A883 2010-08-28 [User ID not found]
sig 672C8B12 2010-08-28 [User ID not found]
sig 2 C4CF8EC3 2010-08-28 [User ID not found]
sig 2 D628A5CA 2010-08-28 [User ID not found]
এবং ম্যানুয়ালি এটি ট্র্যাক করে, বা পিজিপি কী পরিসংখ্যান প্রকল্পে ফে চেক করে ডেবিয়ান বিকাশকারীদের পৃথক GPG কীগুলি ট্র্যাক করুন । এবং আপনার পিজিপি / জিপিজি কী থেকে দেবিয়ান কী সংরক্ষণাগারটিতে কোনও চেইন না থাকলে, আপনাকে কিছু সময় বিশ্বাসের ঝাঁপিয়ে পড়তে হবে।
কীভাবে স্বতন্ত্র প্যাকেজগুলি ডাউনলোড এবং যাচাই করবেন to
সুতরাং অন্য পদ্ধতিটি আরও জটিল, কারণ ডেব প্যাকেজগুলি স্বতন্ত্রভাবে স্বাক্ষরিত হয় না, তবে কেবল Releaseফাইলটি স্বাক্ষরিত হয়। সুতরাং স্বতন্ত্র স্বাক্ষর Releaseএবং Packagesফাইলগুলি পৃথক প্যাকেজের সাথে একত্রে আপনাকে ডাউনলোড এবং যাচাই করতে হবে ।
আমি একটি উদাহরণ যোগ করব যা পরিষ্কার হবে।
কল্পনা করুন আপনার জন্য ডেবিয়ান প্যাকেজ ডাউনলোড করতে চান নট ডিএনএস থেকে এটা অফিসিয়াল পিপিএ এর উবুন্টু জন্য AMD64 আর্কিটেকচারের মধ্যে সুনির্দিষ্ট।
আপনাকে ডিরেক্টরিতে ক্লিক করতে হবে এবং এই ফাইলগুলি সন্ধান করতে হবে:
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/dists/precise/Release
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/dists/precise/Release.gpg
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/dists/precise/main/binary-amd64/Packages
wget http://ppa.launchpad.net/cz.nic-labs/knot-dns/ubuntu/pool/main/k/knot/knot_1.2.0~rc3-1~precise+1_amd64.deb
পরবর্তী পদক্ষেপটি Releaseফাইলটিতে স্বাক্ষর যাচাই করা হবে:
$ gpg --verify Release.gpg Release
gpg: Signature made Fri 01 Mar 2013 07:14:38 PM CET using RSA key ID F9C59A45
gpg: Good signature from "Launchpad Datové schránky"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 5246 3488 670E 69A0 9200 7C24 F233 1238 F9C5 9A45
অবশ্যই আপনাকে অন্য কোনও উপায়ে কীটি যাচাই করতে হবে (যেমন ডেবিয়ান / উবুন্টু রক্ষণাবেক্ষণকারী কী, এটি লঞ্চপ্যাড ইত্যাদি থেকে পরীক্ষা করা ইত্যাদি ...)
আপনি যখন Releaseফাইলটিতে সঠিক স্বাক্ষরটি যাচাই করেছেন আপনি পরবর্তী পদক্ষেপে যেতে পারেন - প্যাকেজ ফাইলটি যাচাই করে নিন।
sha256sum Packages
c96a524398cf6e9db033c8299974fe324eba47cc8190efec6495c74e251330ad Packages
$ grep c96a524398cf6e9db033c8299974fe324eba47cc8190efec6495c74e251330ad Release
c96a524398cf6e9db033c8299974fe324eba47cc8190efec6495c74e251330ad 3379 main/binary-amd64/Packages
যেমন আপনি দেখতে পাচ্ছেন, স্বাক্ষরটি সই করা Releaseফাইলটিতে পাওয়া যায় , সুতরাং আমরা Packagesফাইলটির অখণ্ডতা যাচাই করেছি এবং এর SHA-256 ফিঙ্গারপ্রিন্টের তুলনা করে।
শেষ পদক্ষেপটি একই রকম। আপনাকে পৃথক প্যাকেজের আঙুলের ছাপ গণনা করতে এবং তুলনা করতে হবে:
$ sha1sum knot_1.2.0~rc3-1~precise+1_amd64.deb
8b34078e9bfef7aa818b2f926a28838b0ede9f43 knot_1.2.0~rc3-1~precise+1_amd64.deb
$ grep -A 13 "Package: knot$" Packages | grep "^SHA1: "
SHA1: 8b34078e9bfef7aa818b2f926a28838b0ede9f43
এই মুহুর্তে আমরা স্বাক্ষরিত Releaseফাইলটিতে সুরক্ষিতভাবে প্যাকেজটি বেঁধে রেখেছি । সুতরাং আপনি যদি Releaseফাইলে স্বাক্ষরটি বিশ্বাস করেন তবে আপনি নিশ্চিত হতে পারেন যে প্যাকেজটি অক্ষত ডাউনলোড হয়েছে।
আপনি দেবিয়ান উইকিতে সিকিওর এপিটি প্রবন্ধে আরও পড়তে পারেন ।