Bỏ qua chữ ký GPG chỉ kiểm tra cho một kho lưu trữ duy nhất

Tôi đã đọc bài viết sau: Làm cách nào để bỏ qua / bỏ qua kiểm tra chữ ký gpg của apt?

Nó vạch ra cách cấu hình aptđể không kiểm tra chữ ký của gói ở tất cả .

Tuy nhiên, tôi muốn giới hạn ảnh hưởng của cài đặt này vào một kho lưu trữ duy nhất (trong trường hợp này được lưu trữ cục bộ).

Đó là: tất cả các kho chính thức nên sử dụng việc kiểm tra chữ ký GPG như thường lệ, ngoại trừ cho các repo địa phương .

Làm thế nào tôi sẽ đi về làm điều đó?

Không có điều đó, lợi thế nào (thông minh về bảo mật) khi ký các gói trong quá trình xây dựng tự động (một số gói meta và một vài chương trình) và sau đó thực hiện tất cả các quy định an toànapt đó ? Sau khi tất cả các máy chủ lưu trữ với repo thì đó cũng sẽ là một trong đó khóa GPG bí mật nằm trong đó.

apt repository

— 0xC0000022L
nguồn

Theo ý kiến của tôi, việc ký tự động bằng cách sử dụng khóa trực tuyến, trong khi không lý tưởng, sẽ hoàn toàn tốt hơn so với việc không ký. Việc cài đặt cũng sẽ dễ dàng hơn nhiều (không cần phải cấu hình từng máy khách để từ bỏ kiểm tra) và dễ dàng hơn nhiều để chuyển sang thiết lập tốt hơn sau này nếu bạn muốn.

— Celada

@Celada: đó là một ý kiến (rằng nó "hoàn toàn tốt hơn") hay có một lý do cho tuyên bố của bạn? Tôi đang hỏi, bởi vì cho đến nay tôi không thể thấy lý do làm thế nào điều này sẽ cải thiện bảo mật hoặc bất kỳ khía cạnh nào khác. Lần duy nhất khi điều này có phần có lợi, sẽ là nếu tôi có ý định xuất bản repo của mình sau tất cả, phải không?

— 0xC0000022L

Tôi giữ quan điểm đó một cách hợp lý :-) Nếu kho lưu trữ được ký, thì ít nhất những kẻ xấu phải lấy khóa ký, mà bạn có thể sẽ chỉ giữ một nơi và có thể trên hộp dev, hoặc ít nhất là không thể đọc được bởi Máy chủ HTTP. Nếu không thì không có sự bảo vệ nào cả. Nói cách khác, tôi chỉ muốn nói rằng không có bất lợi nào khi ký, vì vậy bạn cũng có thể ký ngay cả khi lợi thế chỉ là nhỏ bé. Và vì nó sẽ dễ dàng hơn để thiết lập, đó là những gì tôi sẽ đi với.

— Celada

@Celada: đây là kho lưu trữ chỉ sử dụng cục bộ. Ai sẽ có thể truy cập nó. Trường hợp sử dụng: một máy chủ lưu trữ với khách. Cả máy chủ và container sẽ có quyền truy cập. Không có kế hoạch truy cập công cộng. Nhưng tôi đoán tôi sẽ giữ câu trả lời lâu hơn một chút và đi tìm cách không thể tránh khỏi (ký).

— 0xC0000022L

Đủ công bằng, chúng tôi sẽ xem nếu ai đó biết câu trả lời cho câu hỏi của bạn. Tôi không biết công cụ nào bạn dự định sử dụng để tạo repo, nhưng tôi khuyên bạn nên reprepro . Rất nhiều công cụ khác như dput(hoặc bất cứ thứ gì mà bản thân Debian sử dụng) đều rất phức tạp và có vẻ như quá mức cần thiết cho repo ad hoc chỉ cục bộ. repreprosẽ tự động tạo repo với tất cả các tệp chỉ mục và bố cục thư mục chính xác mà không cần cài đặt máy chủ cơ sở dữ liệu lớn ... và nó cũng sẽ ký kết quả mà về cơ bản không có công việc bổ sung nào.

— Celada

Bạn có thể đặt tùy chọn trong sources.list:

deb [trusted=yes] http://localmachine/debian wheezy main

Các trustedtùy chọn là những gì sẽ tắt việc kiểm tra GPG. Xem man 5 sources.listđể biết chi tiết.

Lưu ý: điều này đã được thêm vào trong apt 0.8.16 ~ exp3. Vì vậy, đó là trong wheezy (và tất nhiên jessie), nhưng không ép.

— derobert
nguồn

Cảm ơn nhiều. Đây chính xác là những gì tôi đang tìm kiếm. Tôi tin tưởng 1.0.1ubuntu2.7sẽ có tính năng đó rồi, với số phiên bản của nó.

— 0xC0000022L

@ 0xC0000022L có, nên.

— derobert

Đây chắc chắn là câu trả lời tốt nhất nếu bạn liên tục cần truy cập vào một kho lưu trữ không dấu, có những câu trả lời được cập nhật cho câu hỏi khác được liên kết trong câu hỏi ban đầu ở đây chỉ ra cách làm tạm thời trên mỗi kho lưu trữ.

— dragon788

Để đảm bảo rằng bạn thấy cảnh báo trong khi sử dụng kho lưu trữ không an toàn, tốt hơn nên sử dụng allow-insecure = yes thay vì như dưới đây

deb [ allow-insecure=yes ] ...

— Naresh Mehta
nguồn

Thật thú vị, cảm ơn câu trả lời của bạn. Một sự khác biệt nhỏ nhưng quan trọng thực sự.

— 0xC0000022L