Przeczytałem następujący artykuł: Jak ominąć / zignorować sprawdzanie podpisu gpg przez apt?
To przedstawia jak skonfigurować apt, aby nie sprawdzać podpisy pakietów w ogóle .
Chciałbym jednak ograniczyć efekt tego ustawienia do pojedynczego repozytorium (w tym przypadku hostowanego lokalnie).
To znaczy: wszystkie oficjalne repozytoria powinny używać sprawdzanie podpisu GPG jak zwykle, z wyjątkiem dla lokalnego repo .
Jak miałbym to zrobić?
W przeciwnym razie, jaka byłaby zaleta (ze względów bezpieczeństwa) podpisania pakietów podczas automatycznej kompilacji (niektóre meta-pakiety i kilka programów), a następnie zrobienie wszystkiego, co jest bezpieczneapt ? W końcu host z repozytorium byłby również tym, na którym rezyduje tajny klucz GPG.
Moim zdaniem automatyczne podpisywanie przy użyciu klucza online, choć dalekie od ideału, byłoby zdecydowanie lepsze niż całkowite nie podpisywanie. Byłoby to również znacznie łatwiejsze do skonfigurowania (nie trzeba konfigurować każdego klienta, aby zrezygnować z kontroli) i znacznie łatwiej jest przejść do lepszej konfiguracji później, jeśli chcesz.
—
Celada,
@Celada: czy to opinia (że jest „zdecydowanie lepsza”), czy może jest uzasadnienie dla twojego oświadczenia? Pytam, ponieważ do tej pory nie widzę powodu, dla którego poprawiłoby to bezpieczeństwo lub jakikolwiek inny aspekt. Jedynym momentem, w którym byłoby to nieco korzystne, byłoby, gdyby w końcu zamierzałem opublikować moje repo, nie?
—
0xC0000022L
Racjonalnie podtrzymuję tę opinię :-) Jeśli repozytorium jest podpisane, to przynajmniej źli ludzie muszą zdobyć klucz do podpisywania, który prawdopodobnie będziesz trzymał tylko w jednym miejscu i prawdopodobnie na polu deweloperskim lub przynajmniej nieczytelnym dla Serwer HTTP. W przeciwnym razie nie będzie żadnej ochrony. Innymi słowy, chcę powiedzieć, że podpisanie nie ma wady, więc równie dobrze możesz podpisać, nawet jeśli przewaga jest niewielka. A ponieważ łatwiej byłoby skonfigurować, to właśnie z tym bym poszedł.
—
Celada,
@Celada: jest to repozytorium tylko do użytku lokalnego. Kto będzie mógł uzyskać do niego dostęp. Przypadek użycia: host z kontenerami gości. Zarówno host, jak i kontenery będą miały dostęp. Brak publicznego dostępu. Ale myślę, że wytrzymam trochę dłużej i wybiorę nieuniknione inaczej (podpisanie).
—
0xC0000022L
W porządku, zobaczymy, czy ktoś zna odpowiedź na twoje pytanie. Nie wiem, jakiego narzędzia zamierzasz użyć do wygenerowania repozytorium, ale polecam reprezentpro . Wiele innych narzędzi, takich jak
—
Celada
dput(lub cokolwiek, z czego korzysta sam Debian), jest bardzo skomplikowanych i wydaje się ogromną nadwyżką w przypadku repozytorium ad hoc tylko na poziomie lokalnym. repreproautomatycznie zajmie się generowaniem repozytorium ze wszystkimi poprawnymi układami katalogów i plikami indeksowymi bez konieczności instalowania dużego serwera bazy danych ... a także podpisze wynik, praktycznie bez dodatkowej pracy z twojej strony.