Я прочитав таку статтю: Як я обминаю / ігнорую перевірку підписів gpg для підходу?
Він описує , як налаштувати , aptщоб не перевіряти підписи пакетів на всіх .
Однак я хотів би обмежити дію цього параметра лише одним сховищем (у даному випадку локальним розміщенням).
Тобто: все офіційні репозиторії повинні використовувати перевірку підпису GPG , як зазвичай, за винятком того, для місцевих репо .
Як би я пішов робити це?
В іншому випадку, що б перевагу ( з точки зору безпеки) підписання пакетів під час автоматичного складання (деякі мета-пакети і кілька програм) , а потім робити все , що безпечніapt прописує? Зрештою, хост з репо буде тоді також тим, на якому знаходиться таємний ключ GPG.
На мою думку, автоматичне підписання за допомогою онлайн-ключа, хоч і далеко від ідеального, було б суворо краще, ніж взагалі не підписувати. Також було б набагато простіше налаштувати (не потрібно налаштовувати кожного клієнта на відмову від перевірок) і набагато простіше перейти на кращу настройку пізніше, якщо ви хочете.
—
Селада
@Celada: це думка (що це "суворо краще") чи є обґрунтування вашої заяви? Я прошу, бо поки що я не бачу причини, як це покращило б безпеку чи будь-який інший аспект. Єдиний час, коли це буде дещо вигідним, це було б, якби я коли-небудь мав намір опублікувати своє репо, зрештою, ні?
—
0xC0000022L
Я дотримуюся цієї думки раціонально :-) Якщо сховище підписане, то принаймні погані хлопці повинні отримати ключ підпису, який ви, ймовірно, будете зберігати лише в одному місці і, ймовірно, у вікні розробника, або, принаймні, не читатимуть HTTP-сервер. Інакше захисту взагалі немає. Іншими словами, я просто хочу сказати, що підпису немає недоліків, тому ви можете також підписати, навіть якщо перевага є лише крихітною. А оскільки було б легше налаштувати, саме так я б пішов.
—
Селада
@Celada: це сховище лише для місцевого використання. Хто мав би доступ до нього. Корпус: хост з гостьовими контейнерами. І хост, і контейнери матимуть доступ. Жодного публічного доступу не планується. Але, мабуть, я затримаюсь на відповідь трохи довше та йду на інакше неминуче (підписання).
—
0xC0000022L
Досить справедливо, ми побачимо, чи знає хтось відповідь на ваше запитання. Я не знаю, який інструмент ви плануєте використовувати для створення репо, але рекомендую reprepro . Багато інших інструментів, як-от
—
Селада
dput(або те, що використовує сам Debian), є дуже досконалими і здаються величезними надмірними рівнями для спеціальної рекламної кампанії, що використовується лише для місцевих організацій. repreproподбає про генерацію репо з усім правильним компонуванням каталогу та файлами індексів автоматично, не потребуючи встановлення великого сервера баз даних ... і він також підпише результат, в основному не вимагаючи додаткової роботи з вашого боку.