GPG imzasını atla, yalnızca tek bir depo için denetler


34

Aşağıdaki makaleyi okudum: apt gpg imzası kontrollerini nasıl atlar / görmezden gelirim?

Bu nasıl yapılandırılacağı özetliyor aptpaketlerin imzaları kontrol etmek hiç .

Ancak, bu ayarın etkisini tek bir (bu durumda yerel olarak barındırılan) depo ile sınırlandırmak istiyorum .

Yani: Bütün resmi depolar, her zamanki gibi GPG imzası denetimi kullanmalısınız haricinde için yerel repo .

Bunu nasıl yapacağım?

Bunu başaramazsanız, otomatik bir kurulum sırasında paketleri (bazı meta paketler ve birkaç program) imzalamanın ve ardından güvenli olanapt tüm reçeteleri yapmanın avantajı (güvenlik açısından) ne olur ? Sonuçta repo ile birlikte ev sahibi, gizli GPG anahtarının bulunduğu sunucu olacaktır.


Bence bir çevrimiçi anahtar kullanarak otomatik imzalama, ideal olmaktan uzak olsa da, imza atmamaktan kesinlikle daha iyi olurdu. Ayrıca kurulumu (her müşteriyi çeklerden feragat edecek şekilde yapılandırmaya gerek kalmaz) ayarlamak ve daha sonra daha iyi bir kuruluma geçmek için çok daha kolay olurdu.
Celada

@Celada: Bu bir fikir mi (“kesinlikle daha iyi”) veya bir ifadeniz için bir neden var mı? Soruyorum, çünkü şu ana kadar bunun güvenliği veya başka bir yönü iyileştirmesinin bir nedenini göremiyorum. Bunun biraz faydalı olacağı tek zaman, repolarımı yayınlamak istersem olur mu?
0xC0000022L

Bu görüşü rasyonel olarak tutuyorum :-) Eğer depo imzalanırsa, en azından kötü adamların imzalama anahtarını almaları gerekir, ki muhtemelen sadece bir yerde ve muhtemelen bir kutuda saklayacaksınız veya en azından HTTP sunucusu. Aksi halde hiçbir koruma yoktur. Başka bir deyişle, imzalamanın bir dezavantajı olmadığını söylemek istiyorum, bu yüzden avantaj çok küçük olsa bile imzalayabilirsiniz. Ve kurulumu daha kolay olacağından, ben de bununla giderdim.
Celada

@Celada: bu sadece yerel kullanım için bir havuzdur. Buna kim erişebilirdi? Kullanım örneği: misafir kapları olan bir ev sahibi. Hem ev sahibi hem de konteynerler erişebilir. Halka açık erişim planlanmadı. Ama sanırım bir cevabı biraz daha uzatacağım ve aksi halde kaçınılmaz olanı (imzalama) isteyeceğim.
0xC0000022L

Yeterince adil, birisinin sorunuza cevabı bilip bilmediğini göreceğiz. Repoyu oluşturmak için hangi aracı kullanmayı planladığınızı bilmiyorum, ancak reprepro'yu öneriyorum . dput(Veya Debian'ın kendisi ne kullanırsa kullansın) diğer araçların birçoğu çok ayrıntılıdır ve yalnızca yerel geçici depolama alanı için büyük overkill gibi görünmektedir. repreprobüyük bir veritabanı sunucusu kurulumuna ihtiyaç duymadan otomatik olarak tüm dizin dizini ve indeks dosyalarının yer aldığı repoyu oluşturmaya özen gösterecek ... ve aynı zamanda sizin tarafınızdan ek bir çalışmayla sonuçlanacak.
Celada

Yanıtlar:


48

Seçeneklerinizi şunları yapabilirsiniz sources.list:

deb [trusted=yes] http://localmachine/debian wheezy main

trustedOpsiyon GPG çek kapatır şeydir. Detaylar man 5 sources.listiçin bakınız.

Not: Bu, apt 0.8.16 ~ exp3 içine eklendi. Bu yüzden wheezy (ve tabii ki jessie), ama sıkmak değil.


çok teşekkürler. Tam olarak aradığım şey buydu. Ben güven 1.0.1ubuntu2.7sürüm numarası verilen zaten bu özelliğe sahip olacaktır.
0xC0000022L

@ 0xC0000022L evet, olmalı.
derobert

İmzasız bir havuza tekrar tekrar erişmeniz gerekiyorsa, bu kesinlikle en iyi cevaptır, burada orijinal soru ile bağlantılı diğer sorulara, depo başına geçici olarak nasıl yapılacağını gösteren güncellenmiş cevaplar vardır.
dragon788

11

Güvensiz bir depo kullanırken bir uyarı gördüğünüzden emin olmak için, aşağıdaki gibi daha iyi kullanın allow-insecure = evet

deb [ allow-insecure=yes ] ...

İlginç, cevabınız için teşekkürler. Gerçekten küçük ama önemli bir fark.
0xC0000022L
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.