Przeczytałem następujący artykuł: Jak ominąć / zignorować sprawdzanie podpisu gpg przez apt?
To przedstawia jak skonfigurować apt
, aby nie sprawdzać podpisy pakietów w ogóle .
Chciałbym jednak ograniczyć efekt tego ustawienia do pojedynczego repozytorium (w tym przypadku hostowanego lokalnie).
To znaczy: wszystkie oficjalne repozytoria powinny używać sprawdzanie podpisu GPG jak zwykle, z wyjątkiem dla lokalnego repo .
Jak miałbym to zrobić?
W przeciwnym razie, jaka byłaby zaleta (ze względów bezpieczeństwa) podpisania pakietów podczas automatycznej kompilacji (niektóre meta-pakiety i kilka programów), a następnie zrobienie wszystkiego, co jest bezpieczneapt
? W końcu host z repozytorium byłby również tym, na którym rezyduje tajny klucz GPG.
apt
repository
0xC0000022L
źródło
źródło
dput
(lub cokolwiek, z czego korzysta sam Debian), jest bardzo skomplikowanych i wydaje się ogromną nadwyżką w przypadku repozytorium ad hoc tylko na poziomie lokalnym.reprepro
automatycznie zajmie się generowaniem repozytorium ze wszystkimi poprawnymi układami katalogów i plikami indeksowymi bez konieczności instalowania dużego serwera bazy danych ... a także podpisze wynik, praktycznie bez dodatkowej pracy z twojej strony.Odpowiedzi:
Możesz ustawić opcje w
sources.list
:Ta
trusted
opcja wyłącza sprawdzanie GPG. Zobaczman 5 sources.list
szczegóły.Uwaga: zostało to dodane w apt 0.8.16 ~ exp3. Więc jest w wheezy (i oczywiście jessie), ale nie ściska.
źródło
1.0.1ubuntu2.7
, że będzie już miał tę funkcję, biorąc pod uwagę jej numer wersji.Aby mieć pewność, że zobaczysz ostrzeżenie podczas korzystania z niezabezpieczonego repozytorium, lepiej użyj parametru allow-insecure = yes zamiast jak poniżej
źródło