単一のリポジトリに対してのみGPG署名チェックをバイパスします


34

次の記事を読みました:aptのgpg署名チェックをバイパス/無視するにはどうすればよいですか?

これは、構成する方法を概説しaptたパッケージの署名をチェックしないために、すべてに

ただし、この設定の影響を単一(この場合はローカルでホストされる)リポジトリに制限したいと思います。

つまり、ローカルリポジトリを除きすべての公式リポジトリは通常どおりGPG署名チェックを使用する必要があります。

それをどうやってやるの?

それに失敗した場合、自動ビルド(一部のメタパッケージといくつかのプログラム)でパッケージに署名し、セキュリティで保護aptされたすべての処方を行うことの利点(セキュリティ面)は何でしょうか?リポジトリを持つホストはすべて、秘密のGPGキーが存在するホストにもなります。


私の意見では、オンラインキーを使用した自動署名は、理想からはほど遠いものの、まったく署名しないよりも厳密に良いでしょう。また、セットアップがはるかに簡単になり(各クライアントがチェックを放棄するように構成する必要はありません)、必要に応じて後でより良いセットアップに移行するのがはるかに簡単になります。
セラダ

@セラダ:それは意見(「厳密に良い」ということ)ですか、それともあなたの声明の根拠はありますか?私が尋ねているのは、これまでのところこれがセキュリティやその他の側面を改善する理由がわからないからです。これがいくぶん有益である唯一の時間は、結局私が自分のレポを公開するつもりだった場合でしょうか?
0xC0000022L

私はその意見を合理的に保持します:-)リポジトリが署名されている場合、少なくとも悪者は署名キーを取得する必要があります。 HTTPサーバー。それ以外の場合、保護はまったくありません。言い換えれば、私はただ署名に不利な点はないということを意味するので、利点がわずかであっても署名することもできます。そして、セットアップが簡単になるので、それは私が行くことです。
セラダ

@Celada:これはローカルでのみ使用するためのリポジトリです。誰がアクセスできるでしょう。ユースケース:ゲストコンテナーを備えたホスト。ホストとコンテナの両方にアクセスできます。パブリックアクセスは計画されていません。しかし、私はもう少し答えを差し出し、そうでなければ避けられない(署名)に行くと思います。
0xC0000022L

公正に、あなたの質問に対する答えを誰かが知っているかどうかを確認します。レポジトリの生成にどのツールを使用する予定なのかわかりませんが、repreproをお勧めしますdput(またはDebian自体が使用する)のような他のツールの多くは非常に精巧で、ローカルのみのアドホックリポジトリにとっては非常にやり過ぎのようです。reprepro大きなデータベースサーバーのインストールを必要とせずに、すべての正しいディレクトリレイアウトとインデックスファイルを使用してレポジトリを自動的に生成します。また、基本的に追加作業なしで結果に署名します。
セラダ

回答:


48

オプションを設定できます sources.list

deb [trusted=yes] http://localmachine/debian wheezy main

trustedオプションは、GPGチェックをオフにするものです。詳細man 5 sources.listを参照してください。

注:これはapt 0.8.16〜exp3で追加されました。だから、それはwheezy(そしてもちろんjessie)ですが、スクイーズではありません。


本当にありがとう。これはまさに私が探していたものでした。1.0.1ubuntu2.7バージョン番号が与えられれば、私はその機能を既に持っていると信じています。
-0xC0000022L

@ 0xC0000022Lはい、そうすべきです。
デロベルト

署名のないリポジトリに繰り返しアクセスする必要がある場合、これは間違いなくベストアンサーです。元の質問にリンクされている他の質問に対する更新された回答があり、リポジトリごとに一時的に行う方法を示します。
dragon788

11

安全でないリポジトリを使用しているときに警告が表示されるようにするには、代わりに以下のようにallow-insecure = yesを使用することをお勧めします

deb [ allow-insecure=yes ] ...

おもしろい、答えてくれてありがとう。確かに小さいながらも重要な違い。
0xC0000022L
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.