Przeczytałem następujący artykuł: Jak ominąć / zignorować sprawdzanie podpisu gpg przez apt?
To przedstawia jak skonfigurować apt
, aby nie sprawdzać podpisy pakietów w ogóle .
Chciałbym jednak ograniczyć efekt tego ustawienia do pojedynczego repozytorium (w tym przypadku hostowanego lokalnie).
To znaczy: wszystkie oficjalne repozytoria powinny używać sprawdzanie podpisu GPG jak zwykle, z wyjątkiem dla lokalnego repo .
Jak miałbym to zrobić?
W przeciwnym razie, jaka byłaby zaleta (ze względów bezpieczeństwa) podpisania pakietów podczas automatycznej kompilacji (niektóre meta-pakiety i kilka programów), a następnie zrobienie wszystkiego, co jest bezpieczneapt
? W końcu host z repozytorium byłby również tym, na którym rezyduje tajny klucz GPG.
dput
(lub cokolwiek, z czego korzysta sam Debian), jest bardzo skomplikowanych i wydaje się ogromną nadwyżką w przypadku repozytorium ad hoc tylko na poziomie lokalnym. reprepro
automatycznie zajmie się generowaniem repozytorium ze wszystkimi poprawnymi układami katalogów i plikami indeksowymi bez konieczności instalowania dużego serwera bazy danych ... a także podpisze wynik, praktycznie bez dodatkowej pracy z twojej strony.