Aşağıdaki makaleyi okudum: apt gpg imzası kontrollerini nasıl atlar / görmezden gelirim?
Bu nasıl yapılandırılacağı özetliyor aptpaketlerin imzaları kontrol etmek hiç .
Ancak, bu ayarın etkisini tek bir (bu durumda yerel olarak barındırılan) depo ile sınırlandırmak istiyorum .
Yani: Bütün resmi depolar, her zamanki gibi GPG imzası denetimi kullanmalısınız haricinde için yerel repo .
Bunu nasıl yapacağım?
Bunu başaramazsanız, otomatik bir kurulum sırasında paketleri (bazı meta paketler ve birkaç program) imzalamanın ve ardından güvenli olanapt tüm reçeteleri yapmanın avantajı (güvenlik açısından) ne olur ? Sonuçta repo ile birlikte ev sahibi, gizli GPG anahtarının bulunduğu sunucu olacaktır.
Bence bir çevrimiçi anahtar kullanarak otomatik imzalama, ideal olmaktan uzak olsa da, imza atmamaktan kesinlikle daha iyi olurdu. Ayrıca kurulumu (her müşteriyi çeklerden feragat edecek şekilde yapılandırmaya gerek kalmaz) ayarlamak ve daha sonra daha iyi bir kuruluma geçmek için çok daha kolay olurdu.
—
Celada
@Celada: Bu bir fikir mi (“kesinlikle daha iyi”) veya bir ifadeniz için bir neden var mı? Soruyorum, çünkü şu ana kadar bunun güvenliği veya başka bir yönü iyileştirmesinin bir nedenini göremiyorum. Bunun biraz faydalı olacağı tek zaman, repolarımı yayınlamak istersem olur mu?
—
0xC0000022L
Bu görüşü rasyonel olarak tutuyorum :-) Eğer depo imzalanırsa, en azından kötü adamların imzalama anahtarını almaları gerekir, ki muhtemelen sadece bir yerde ve muhtemelen bir kutuda saklayacaksınız veya en azından HTTP sunucusu. Aksi halde hiçbir koruma yoktur. Başka bir deyişle, imzalamanın bir dezavantajı olmadığını söylemek istiyorum, bu yüzden avantaj çok küçük olsa bile imzalayabilirsiniz. Ve kurulumu daha kolay olacağından, ben de bununla giderdim.
—
Celada
@Celada: bu sadece yerel kullanım için bir havuzdur. Buna kim erişebilirdi? Kullanım örneği: misafir kapları olan bir ev sahibi. Hem ev sahibi hem de konteynerler erişebilir. Halka açık erişim planlanmadı. Ama sanırım bir cevabı biraz daha uzatacağım ve aksi halde kaçınılmaz olanı (imzalama) isteyeceğim.
—
0xC0000022L
Yeterince adil, birisinin sorunuza cevabı bilip bilmediğini göreceğiz. Repoyu oluşturmak için hangi aracı kullanmayı planladığınızı bilmiyorum, ancak reprepro'yu öneriyorum .
—
Celada
dput(Veya Debian'ın kendisi ne kullanırsa kullansın) diğer araçların birçoğu çok ayrıntılıdır ve yalnızca yerel geçici depolama alanı için büyük overkill gibi görünmektedir. repreprobüyük bir veritabanı sunucusu kurulumuna ihtiyaç duymadan otomatik olarak tüm dizin dizini ve indeks dosyalarının yer aldığı repoyu oluşturmaya özen gösterecek ... ve aynı zamanda sizin tarafınızdan ek bir çalışmayla sonuçlanacak.