Ça y'est la signature du dépôt de paquets Debian est en place ! Ça veut dire qu'à partir de maintenant, même si quelqu'un parvenait à modifier les paquets sur le serveur (pour y mettre des logiciels malveillants), le gestionnaire de paquets s'en apercevrait et informerait l'utilisateur de la non authenticité des paquets. Les instructions sont écrites à la page http://debian.doudoulinux.org/, on les remet ici parce que le look de la page du dépôt est encore un peu brut de fonderie ;-) !

Pour déclarer les paquets DoudouLinux dans votre système, il faut ajouter dans votre fichier de dépôts /etc/apt/sources.list la ligne suivante :

  • pour Debian Lenny
deb http://debian.doudoulinux.org/ lenny main
  • pour Debian Squeeze
deb http://debian.doudoulinux.org/ squeeze main

NB: pour le moment il n'y a rien pour Squeeze, ne cherchez pas !

Il faut aussi récupérer la signature du dépôt pour contrôler l'authenticité des paquets téléchargés. La signature sera valable un an, après quoi il faudra la mettre à jour. Une possibilité consiste à installer le paquet doudoulinux-keyring après avoir déclarer le dépôt DoudouLinux, puis à recharger les informations du dépôt (méthode recommandée) :

$ sudo apt-get update
$ sudo apt-get install doudoulinux-keyring
$ sudo apt-get update

Remarque : apt-get vous demandera s'il faut installer ce paquet non authentifié, ce qu'il faut faire, c'est sans risque !

On peut aussi télécharger ce paquet et l'installer avec la commande suivante avant de rafraîchir les informations sur les paquets :

$ wget http://debian.doudoulinux.org/pool/main/d/doudoulinux-keyring/doudoulinux-keyring_2010.02.07_all.deb
$ sudo dpkg -i doudoulinux-keyring_2010.02.07_all.deb
$ sudo apt-get update

Une autre possibilité consiste à télécharger cette signature et à la déclarer dans le gestionnaire de clefs des paquets avec la commande suivante :

$ wget -O - http://debian.doudoulinux.org/doudoulinux.asc | sudo apt-key add -

Et voilà !