단일 저장소에 대해서만 GPG 서명 검사 무시


34

다음 기사를 읽었습니다. apt의 gpg 서명 확인을 무시 / 무시하는 방법은 무엇입니까?

그것은 구성하는 방법을 설명 apt패키지의 서명을 확인하지 전혀 .

그러나이 설정의 효과를 단일 (이 경우 로컬 호스팅) 리포지토리로 제한 하고 싶습니다 .

즉 : 모든 공식 저장소는 평소와 같이 GPG 서명 확인을 사용해야 제외 에 대한 지역의 repo .

어떻게하면 될까요?

실패하면 자동화 된 빌드 (일부 메타 패키지 및 몇 가지 프로그램) 중에 패키지에 서명 한 다음 모든 안전한apt 처방 을 수행하면 어떤 이점이 있습니까 ( 보안 측면에서) ? 리포지토리가있는 모든 호스트는 비밀 GPG 키가있는 호스트이기도합니다.


제 생각에 온라인 키를 사용한 자동 서명은 이상적이지는 않지만 서명하지 않는 것보다 엄격하게 더 좋습니다. 또한 설정이 훨씬 쉬우 며 (각 클라이언트가 검사를 면제하도록 구성 할 필요가 없음) 나중에 원하는 경우 더 나은 설정으로 전환하기가 훨씬 쉽습니다.
Celada

@Celada : 그 의견이 "엄격히 더 좋다"는 말입니까, 아니면 진술에 대한 근거가 있습니까? 나는 이것이 보안이나 다른 측면을 향상시키는 이유를 알 수 없기 때문에 묻습니다. 이것이 다소 유익한 유일한 시간은, 결국 내 레포를 게시하려는 경우 일 것입니다.
0xC0000022L

나는 그 의견을 합리적으로 주장한다 :-) 저장소가 서명되면, 적어도 나쁜 놈들은 서명 키를 가져와야 할 것이다. HTTP 서버 그렇지 않으면 전혀 보호되지 않습니다. 다시 말해, 서명하는 데 단점이 없다고 말하면 이점이 아주 작더라도 서명 할 수 있습니다. 그리고 설정하기가 쉬울 것이기 때문에 이것이 내가 함께 할 것입니다.
Celada

@Celada : 로컬 전용 저장소입니다. 누가 접근 할 수 있을까요? 사용 사례 : 게스트 컨테이너가있는 호스트 호스트와 컨테이너 모두 액세스 할 수 있습니다. 공개 액세스가 계획되지 않았습니다. 그러나 나는 대답을 조금 더 길게 잡고 피할 수없는 (서명) 갈 것이라고 생각합니다.
0xC0000022L

충분히, 우리는 누군가 당신의 질문에 대한 답을 알고 있는지 알게 될 것입니다. 리포지토리 를 생성하기 위해 어떤 도구를 사용 할지 모르겠지만 reprepro를 권장 합니다 . dput(또는 데비안 자체에서 사용 하는 것과 같은) 다른 많은 툴 은 매우 정교하며 로컬 전용 애드혹 리포지토리에 대한 과도한 오버 킬처럼 보입니다. reprepro큰 데이터베이스 서버 설치가 필요없이 모든 올바른 디렉토리 레이아웃 및 색인 파일을 사용하여 자동으로 repo 생성을 처리합니다 ... 또한 기본적으로 추가 작업없이 결과에 서명합니다.
Celada

답변:


48

에서 옵션을 설정할 수 있습니다 sources.list.

deb [trusted=yes] http://localmachine/debian wheezy main

trusted옵션은 GPG 체크 해제합니다 것입니다. 자세한 내용 man 5 sources.list을 참조하십시오.

참고 : 이것은 0.8.16 ~ exp3에 추가되었습니다. 그래서 그것은 희미합니다 (물론 jessie)이지만 짜지는 않습니다.


무리 감사. 이것은 내가 찾던 것입니다. 1.0.1ubuntu2.7버전 번호를 감안할 때 해당 기능이 이미있을 것이라고 믿습니다 .
0xC0000022L

@ 0xC0000022L 그렇습니다.
derobert

이것은 서명되지 않은 저장소에 반복적으로 액세스해야하는 경우에 가장 좋은 대답입니다. 여기에서 원래 질문에 링크 된 다른 질문에 대한 업데이트 된 답변이 여기에서 저장소마다 임시로 수행하는 방법을 보여줍니다.
dragon788

11

안전하지 않은 저장소를 사용하는 동안 경고가 표시되도록하려면 아래 대신 allow-insecure = yes를 사용하는 것이 좋습니다.

deb [ allow-insecure=yes ] ...

흥미 롭습니다. 답장을 보내 주셔서 감사합니다. 작지만 중요한 차이점입니다.
0xC0000022L
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.