다음 기사를 읽었습니다. apt의 gpg 서명 확인을 무시 / 무시하는 방법은 무엇입니까?
그것은 구성하는 방법을 설명 apt
패키지의 서명을 확인하지 전혀 .
그러나이 설정의 효과를 단일 (이 경우 로컬 호스팅) 리포지토리로 제한 하고 싶습니다 .
즉 : 모든 공식 저장소는 평소와 같이 GPG 서명 확인을 사용해야 제외 에 대한 지역의 repo .
어떻게하면 될까요?
실패하면 자동화 된 빌드 (일부 메타 패키지 및 몇 가지 프로그램) 중에 패키지에 서명 한 다음 모든 안전한apt
처방 을 수행하면 어떤 이점이 있습니까 ( 보안 측면에서) ? 리포지토리가있는 모든 호스트는 비밀 GPG 키가있는 호스트이기도합니다.
제 생각에 온라인 키를 사용한 자동 서명은 이상적이지는 않지만 서명하지 않는 것보다 엄격하게 더 좋습니다. 또한 설정이 훨씬 쉬우 며 (각 클라이언트가 검사를 면제하도록 구성 할 필요가 없음) 나중에 원하는 경우 더 나은 설정으로 전환하기가 훨씬 쉽습니다.
—
Celada
@Celada : 그 의견이 "엄격히 더 좋다"는 말입니까, 아니면 진술에 대한 근거가 있습니까? 나는 이것이 보안이나 다른 측면을 향상시키는 이유를 알 수 없기 때문에 묻습니다. 이것이 다소 유익한 유일한 시간은, 결국 내 레포를 게시하려는 경우 일 것입니다.
—
0xC0000022L
나는 그 의견을 합리적으로 주장한다 :-) 저장소가 서명되면, 적어도 나쁜 놈들은 서명 키를 가져와야 할 것이다. HTTP 서버 그렇지 않으면 전혀 보호되지 않습니다. 다시 말해, 서명하는 데 단점이 없다고 말하면 이점이 아주 작더라도 서명 할 수 있습니다. 그리고 설정하기가 쉬울 것이기 때문에 이것이 내가 함께 할 것입니다.
—
Celada
@Celada : 로컬 전용 저장소입니다. 누가 접근 할 수 있을까요? 사용 사례 : 게스트 컨테이너가있는 호스트 호스트와 컨테이너 모두 액세스 할 수 있습니다. 공개 액세스가 계획되지 않았습니다. 그러나 나는 대답을 조금 더 길게 잡고 피할 수없는 (서명) 갈 것이라고 생각합니다.
—
0xC0000022L
충분히, 우리는 누군가 당신의 질문에 대한 답을 알고 있는지 알게 될 것입니다. 리포지토리 를 생성하기 위해 어떤 도구를 사용 할지 모르겠지만 reprepro를 권장 합니다 .
—
Celada
dput
(또는 데비안 자체에서 사용 하는 것과 같은) 다른 많은 툴 은 매우 정교하며 로컬 전용 애드혹 리포지토리에 대한 과도한 오버 킬처럼 보입니다. reprepro
큰 데이터베이스 서버 설치가 필요없이 모든 올바른 디렉토리 레이아웃 및 색인 파일을 사용하여 자동으로 repo 생성을 처리합니다 ... 또한 기본적으로 추가 작업없이 결과에 서명합니다.