我已阅读以下文章:如何绕过/忽略apt的gpg签名检查?
它概述了如何配置apt不检查包的签名在所有。
但是,我想将此设置的作用限制为单个(在本例中为本地托管)存储库。
那就是:所有官方软件仓库应该使用GPG签名检查像往常一样,除了对当地的回购。
我将如何去做?
如果不这样做,在自动构建过程中对软件包进行签名(一些元软件包和一些程序),然后执行所有安全的apt处方,这有什么好处(在安全方面)?毕竟,带有存储库的主机也将是秘密GPG密钥所在的主机。
在我看来,使用在线密钥进行自动签名虽然远非理想,但比完全不签名要好得多。设置起来也将容易得多(无需配置每个客户端来放弃检查),并且以后更容易过渡到更好的设置。
—
Celada 2015年
@Celada:这是一种观点(“绝对更好”)还是您的陈述有根据?我问,是因为到目前为止,我还看不出这将如何改善安全性或其他方面的原因。这样做唯一有益的唯一时间就是我是否打算最终发布我的回购,不是吗?
—
0xC0000022L
我的观点是理性的:-)如果存储库已签名,那么至少坏人必须获得签名密钥,您可能只会将其保存在一个地方,可能放在开发箱中,或者至少无法被签名。 HTTP服务器。否则根本就没有保护。换句话说,我的意思是说签名没有任何缺点,因此即使优势很小,您也可以签名。而且由于设置起来会更容易,所以这就是我想要的。
—
Celada 2015年
@Celada:这是仅供本地使用的存储库。谁将能够访问它。用例:带有来宾容器的主机。主机和容器都将有权访问。没有计划公开访问。但是我想我会再等一会儿再回答,否则就不可避免了(签名)。
—
0xC0000022L15年
公平地说,我们将看看是否有人知道您问题的答案。我不知道您打算使用什么工具来生成仓库,但我建议使用reprepro。许多其他工具,例如
—
Celada 2015年
dput(或Debian本身使用的任何工具)都非常复杂,对于只针对本地的临时回购来说似乎是过大的杀伤力。reprepro将负责自动生成具有所有正确目录布局和索引文件的存储库,而无需安装大型数据库服务器...,它还将对结果进行签名,而您基本上不需要进行任何其他工作。