// mirror.as47526.net / setup

← Startseite

Mirror einrichten — GPG-Validierung & Setup

Anleitung zur sicheren Einrichtung aller Repositories mit GPG-Signaturprüfung

Wichtig: Dieser Mirror spiegelt offizielle Upstream-Repositories 1:1. Alle Pakete behalten ihre originalen GPG-Signaturen — wir signieren nichts selbst um. Die Integrität wird durch die Original-Signaturen der jeweiligen Projekte sichergestellt.

GPG-Schlüssel

Für APT-basierte Repositories (Debian, Ubuntu, Proxmox, Docker, FRR, Ceph) müssen die GPG-Schlüssel der jeweiligen Projekte auf dem System installiert sein, damit apt die Paketsignaturen verifizieren kann.

Für Standard-Distributionen (Debian, Ubuntu) sind die Schlüssel bereits vorinstalliert. Für Drittanbieter-Repos müssen die Schlüssel manuell importiert werden. Wir hosten alle benötigten Schlüssel unter /keys/ als Convenience-Kopie.

Abweichung vom offiziellen Prozess: Offiziell empfehlen die Projekte, GPG-Keys direkt von ihren eigenen Servern herunterzuladen. Wir stellen hier Kopien bereit, die bei jedem Sync-Lauf aktualisiert werden. Für maximale Sicherheit sollten Sie die Fingerprints der Keys mit den unten dokumentierten und den auf den offiziellen Projektseiten veröffentlichten Werten abgleichen.
ProjektKey-DateiFingerprint
Debian 12 (Bookworm) debian-archive-12.asc B8B8 0B5B 623E AB6A D877 5C45 B7C5 D7D6 3509 47F8
Debian 12 Security debian-archive-12-security.asc 05AB 9034 0C0C 5E79 7F44 A8C8 254C F3B5 AEC0 A8F0
Ubuntu ubuntu-archive.asc 790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
Proxmox (Bookworm) proxmox-release-bookworm.gpg F4E1 36C6 7CDC E41A E6DE 6FC8 1140 AF8F 639E 0C39
Docker CE docker.asc 9DC8 5822 9FC7 DD38 854A E2D8 8D81 803C 0EBF CD88
FRR frr.gpg 3D99 68AC 9AE7 BE11 6928 8DDB 1FD5 8398 95F5 7FDA
Ceph ceph-release.asc 08B7 3419 AC32 B4E9 66C1 A330 E84A C2C0 460F 3994

Debian

Debian-Systeme haben den Archiv-Schlüssel bereits vorinstalliert. Es reicht, die sources.list anzupassen:

Debian 12 (Bookworm)

Kopierendeb http://mirror.as47526.net/debian bookworm main contrib non-free non-free-firmware
deb http://mirror.as47526.net/debian bookworm-updates main contrib non-free non-free-firmware
deb http://mirror.as47526.net/debian-security bookworm-security main contrib non-free non-free-firmware
Kopierensudo tee /etc/apt/sources.list <<'EOF'
deb http://mirror.as47526.net/debian bookworm main contrib non-free non-free-firmware
deb http://mirror.as47526.net/debian bookworm-updates main contrib non-free non-free-firmware
deb http://mirror.as47526.net/debian-security bookworm-security main contrib non-free non-free-firmware
EOF
sudo apt update
Keine zusätzlichen Schritte nötig. Der Debian-Archivschlüssel ist ab Installation vorhanden. apt update verifiziert die Signaturen automatisch.

Ubuntu

Ubuntu 24.04 (Noble) / 22.04 (Jammy)

Kopierendeb http://mirror.as47526.net/ubuntu noble main restricted universe multiverse
deb http://mirror.as47526.net/ubuntu noble-updates main restricted universe multiverse
deb http://mirror.as47526.net/ubuntu noble-security main restricted universe multiverse
Keine zusätzlichen Schritte nötig. Ubuntu-Archivschlüssel sind vorinstalliert.

Proxmox VE

Schritt 1: GPG-Key importieren

Kopierencurl -fsSL https://mirror.as47526.net/keys/proxmox-release-bookworm.gpg \
  | sudo tee /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg > /dev/null

Schritt 2: Repository hinzufügen

Kopierenecho "deb http://mirror.as47526.net/proxmox/debian/pve bookworm pve-no-subscription" \
  | sudo tee /etc/apt/sources.list.d/pve-mirror.list
sudo apt update

Fingerprint verifizieren

F4E1 36C6 7CDC E41A E6DE 6FC8 1140 AF8F 639E 0C39

Offizieller Abgleich: pve.proxmox.com/wiki/Package_Repositories

Abweichung: Offiziell wird der Key von enterprise.proxmox.com bezogen. Unsere Kopie ist identisch, wird aber von unserem Server ausgeliefert. Verifizieren Sie den Fingerprint im Zweifel gegen die offizielle Proxmox-Dokumentation.

Docker CE

Automatisch (Setup-Script)

Kopierencurl -fsSL https://mirror.as47526.net/docker-setup.sh | sudo bash

Manuell

Kopieren# GPG-Key (wird vom Original-Server geholt, nicht vom Mirror!)
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/debian/gpg \
  | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg

# Repository
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] \
  https://mirror.as47526.net/docker/linux/debian \
  $(. /etc/os-release && echo "$VERSION_CODENAME") stable" \
  | sudo tee /etc/apt/sources.list.d/docker.list
sudo apt update

Fingerprint verifizieren

9DC8 5822 9FC7 DD38 854A E2D8 8D81 803C 0EBF CD88

Offizieller Abgleich: docs.docker.com/engine/install

Sicherheitshinweis: Das Setup-Script und die manuelle Anleitung holen den GPG-Key direkt von download.docker.com, nicht von unserem Mirror. So ist sichergestellt, dass der Schlüssel nicht über den Mirror-Pfad kompromittiert werden kann.

FRR (Free Range Routing)

Schritt 1: GPG-Key importieren

Kopierencurl -fsSL https://mirror.as47526.net/keys/frr.gpg \
  | sudo tee /etc/apt/trusted.gpg.d/frr.gpg > /dev/null

Schritt 2: Repository hinzufügen

Kopierenecho "deb http://mirror.as47526.net/frr bookworm frr-stable" \
  | sudo tee /etc/apt/sources.list.d/frr-mirror.list
sudo apt update

Fingerprint verifizieren

3D99 68AC 9AE7 BE11 6928 8DDB 1FD5 8398 95F5 7FDA

Offizieller Abgleich: deb.frrouting.org

Ceph

Schritt 1: GPG-Key importieren

Kopierencurl -fsSL https://mirror.as47526.net/keys/ceph-release.asc \
  | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/ceph.gpg

Schritt 2: Repository hinzufügen

Kopierenecho "deb http://mirror.as47526.net/ceph/debian-reef bookworm main" \
  | sudo tee /etc/apt/sources.list.d/ceph-mirror.list
sudo apt update

Fingerprint verifizieren

08B7 3419 AC32 B4E9 66C1 A330 E84A C2C0 460F 3994

Offizieller Abgleich: docs.ceph.com

Arch Linux

In /etc/pacman.d/mirrorlist hinzufügen:

KopierenServer = http://mirror.as47526.net/arch/$repo/os/$arch
Pacman verifiziert Pakete über signierte Paketdatenbanken und individuelle Paketsignaturen. Keine zusätzliche Key-Installation nötig — die Arch Linux Keyring ist bereits Teil des Systems.

Fedora

Fedora nutzt DNF/YUM mit RPM-GPG-Signaturen. Die Schlüssel sind ab Installation vorhanden. Um diesen Mirror zu nutzen, eine Repo-Datei anlegen: 

Kopierensudo tee /etc/yum.repos.d/as47526-mirror.repo <<'EOF'
[as47526-fedora]
name=Fedora $releasever - AS47526 Mirror
baseurl=http://mirror.as47526.net/fedora/releases/$releasever/Everything/$basearch/os/
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-$releasever-$basearch
EOF
sudo dnf makecache
Fedora GPG-Keys sind vorinstalliert unter /etc/pki/rpm-gpg/. gpgcheck=1 stellt sicher, dass alle Pakete gegen den offiziellen Fedora-Schlüssel geprüft werden.

Rocky Linux

Kopierensudo tee /etc/yum.repos.d/as47526-mirror.repo <<'EOF'
[as47526-rocky-baseos]
name=Rocky Linux $releasever - BaseOS - AS47526 Mirror
baseurl=http://mirror.as47526.net/rocky/$releasever/BaseOS/$basearch/os/
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-Rocky-$releasever
EOF
sudo dnf makecache
Rocky Linux GPG-Keys sind vorinstalliert. RPM-Signaturen werden automatisch verifiziert.

Alpine Linux

In /etc/apk/repositories:

Kopierenhttps://mirror.as47526.net/alpine/v3.23/main
https://mirror.as47526.net/alpine/v3.23/community
Alpine nutzt apk mit eigener Signaturprüfung. Schlüssel sind vorinstalliert.

Sicherheitshinweise

Trust-Modell: Dieser Mirror ist ein Spiegel offizieller Upstream-Repositories. Alle Pakete tragen die originalen GPG-Signaturen der jeweiligen Projekte. handily networks hat keinen Zugriff auf die privaten Signaturschlüssel und kann daher keine Pakete manipulieren, ohne dass die Signaturprüfung fehlschlägt.

Best Practices

Abweichungen vom offiziellen Prozess