次の記事を読みました:aptのgpg署名チェックをバイパス/無視するにはどうすればよいですか?
これは、構成する方法を概説しapt
たパッケージの署名をチェックしないために、すべてに。
ただし、この設定の影響を単一(この場合はローカルでホストされる)リポジトリに制限したいと思います。
つまり、ローカルリポジトリを除き、すべての公式リポジトリは通常どおりGPG署名チェックを使用する必要があります。
それをどうやってやるの?
それに失敗した場合、自動ビルド(一部のメタパッケージといくつかのプログラム)でパッケージに署名し、セキュリティで保護apt
されたすべての処方を行うことの利点(セキュリティ面)は何でしょうか?リポジトリを持つホストはすべて、秘密のGPGキーが存在するホストにもなります。
私の意見では、オンラインキーを使用した自動署名は、理想からはほど遠いものの、まったく署名しないよりも厳密に良いでしょう。また、セットアップがはるかに簡単になり(各クライアントがチェックを放棄するように構成する必要はありません)、必要に応じて後でより良いセットアップに移行するのがはるかに簡単になります。
—
セラダ
@セラダ:それは意見(「厳密に良い」ということ)ですか、それともあなたの声明の根拠はありますか?私が尋ねているのは、これまでのところこれがセキュリティやその他の側面を改善する理由がわからないからです。これがいくぶん有益である唯一の時間は、結局私が自分のレポを公開するつもりだった場合でしょうか?
—
0xC0000022L
私はその意見を合理的に保持します:-)リポジトリが署名されている場合、少なくとも悪者は署名キーを取得する必要があります。 HTTPサーバー。それ以外の場合、保護はまったくありません。言い換えれば、私はただ署名に不利な点はないということを意味するので、利点がわずかであっても署名することもできます。そして、セットアップが簡単になるので、それは私が行くことです。
—
セラダ
@Celada:これはローカルでのみ使用するためのリポジトリです。誰がアクセスできるでしょう。ユースケース:ゲストコンテナーを備えたホスト。ホストとコンテナの両方にアクセスできます。パブリックアクセスは計画されていません。しかし、私はもう少し答えを差し出し、そうでなければ避けられない(署名)に行くと思います。
—
0xC0000022L