बायपास GPG हस्ताक्षर केवल एक रिपॉजिटरी के लिए जाँच करता है

मैंने निम्नलिखित लेख पढ़ा है: मैं apt के gpg हस्ताक्षर जांच को कैसे दरकिनार / अनदेखा कर सकता हूँ?

यह कॉन्फ़िगर करने के तरीके की रूपरेखा aptसंकुल के हस्ताक्षर की जांच नहीं करने के लिए सभी पर ।

हालाँकि, मैं इस सेटिंग के प्रभाव को (इस मामले में स्थानीय रूप से होस्ट किए गए) रिपॉजिटरी तक सीमित करना चाहूंगा ।

यही कारण है: सभी सरकारी खजाने, हमेशा की तरह GPG हस्ताक्षर की जांच का उपयोग करना चाहिए , सिवाय इसके लिए स्थानीय रेपो ।

मुझसे यह कैसे होगा?

असफल होने पर, एक स्वचालित निर्माण (कुछ मेटा-पैकेज और कुछ प्रोग्राम) के दौरान पैकेज पर हस्ताक्षर करने से क्या फायदा (सुरक्षा-वार) होगा और फिर सभी सुरक्षितapt प्रिस्क्राइब कर रहे हैं ? रेपो के साथ सभी मेजबान के बाद फिर वह भी होगा जिस पर गुप्त GPG कुंजी रहती है।

apt repository

— 0xC0000022L
स्रोत

मेरी राय में, एक ऑनलाइन कुंजी का उपयोग करके स्वचालित रूप से हस्ताक्षर करना, जबकि आदर्श से बहुत दूर, बिल्कुल भी हस्ताक्षर नहीं करने से बेहतर होगा। इसे स्थापित करना बहुत आसान होगा (चेक को माफ करने के लिए प्रत्येक क्लाइंट को कॉन्फ़िगर करने की कोई आवश्यकता नहीं है) और बेहतर सेटअप में संक्रमण के लिए बहुत आसान बाद में आपको चाहिए।

— Celada

@ चेलादा: क्या यह एक राय है (कि यह "कड़ाई से बेहतर है") या आपके कथन का औचित्य है? मैं पूछ रहा हूं, क्योंकि अभी तक मैं एक कारण नहीं देख सकता हूं कि यह कैसे सुरक्षा या किसी अन्य पहलू में सुधार करेगा। एकमात्र समय जब यह कुछ लाभदायक होगा, अगर मैं कभी भी अपने रेपो को प्रकाशित करने का इरादा रखता हूं, तो नहीं?

— 0xC0000022L

मैं उस राय को तर्कसंगत रूप से पकड़ता हूं :-) यदि रिपॉजिटरी पर हस्ताक्षर किए जाते हैं, तो कम से कम बुरे लोगों को साइनिंग कुंजी प्राप्त करनी होगी, जिसे आप संभवतः केवल एक ही स्थान पर रखेंगे और शायद एक देव बॉक्स पर, या कम से कम पठनीय नहीं HTTP सर्वर। अन्यथा कोई सुरक्षा नहीं है। दूसरे शब्दों में, मेरा कहने का मतलब यह है कि हस्ताक्षर करने का कोई नुकसान नहीं है, इसलिए आप केवल हस्ताक्षर कर सकते हैं भले ही लाभ केवल छोटा हो। और चूंकि इसे स्थापित करना आसान होगा, इसलिए मैं इसके साथ जाऊंगा।

— Celada

@ चेलादा: यह केवल स्थानीय उपयोग के लिए भंडार है। इसे कौन एक्सेस कर पाएगा। मामले का उपयोग करें: अतिथि कंटेनरों के साथ एक मेजबान। मेजबान और कंटेनर दोनों की पहुंच होगी। कोई सार्वजनिक पहुँच की योजना नहीं है। लेकिन मुझे लगता है कि मैं एक उत्तर के लिए थोड़ी देर पकड़ लूंगा और अन्यथा अपरिहार्य (हस्ताक्षर) के लिए जाऊंगा।

— 0xC0000022L

पर्याप्त रूप से, हम देखेंगे कि क्या कोई आपके प्रश्न का उत्तर जानता है। मुझे नहीं पता कि आप रेपो उत्पन्न करने के लिए किस उपकरण का उपयोग करने की योजना बना रहे हैं, लेकिन मैं रिप्रेप्रो की सलाह देता हूं । बहुत सारे अन्य उपकरण जैसे dput(या जो भी डेबियन खुद उपयोग करता है) बहुत विस्तृत हैं और स्थानीय-केवल तदर्थ रेपो के लिए विशाल ओवरकिल की तरह प्रतीत होते हैं। repreproएक बड़े डेटाबेस सर्वर इंस्टॉलेशन की आवश्यकता के बिना स्वचालित रूप से सभी सही निर्देशिका लेआउट और इंडेक्स फ़ाइलों के साथ रेपो उत्पन्न करने का ख्याल रखेगा ... और यह मूल रूप से आपके हिस्से पर कोई अतिरिक्त काम नहीं करने के परिणामस्वरूप परिणाम पर हस्ताक्षर करेगा।

— सेलडा

आप अपने में विकल्प सेट कर सकते हैं sources.list:

deb [trusted=yes] http://localmachine/debian wheezy main

trustedविकल्प क्या GPG जांच बंद हो जाती है है। man 5 sources.listविवरण के लिए देखें।

नोट: यह ०.6.१६ ~ एक्सप ३ में जोड़ा गया था। तो यह घरघराहट (और निश्चित रूप से जेसी) में है, लेकिन निचोड़ नहीं।

— derobert
स्रोत

बहुत बहुत धन्यवाद। यह ठीक वही है जिसकी मुझे तलाश थी। मुझे विश्वास 1.0.1ubuntu2.7है कि यह सुविधा पहले से ही है, इसके संस्करण संख्या को देखते हुए।

— 0xC0000022L

@ 0xC0000022L हाँ, यह चाहिए।

— derobert

यह निश्चित रूप से सबसे अच्छा जवाब है यदि आपको बार-बार एक अहस्ताक्षरित रिपॉजिटरी का उपयोग करने की आवश्यकता होती है, तो मूल प्रश्न में जुड़े अन्य प्रश्न के अपडेट किए गए उत्तर हैं जो दिखाते हैं कि अस्थायी रूप से प्रति भंडारित कैसे करें।

— ड्रैगन 788

यह सुनिश्चित करने के लिए कि आप असुरक्षित रिपॉजिटरी का उपयोग करते समय एक चेतावनी देखते हैं, बेहतर उपयोग अनुमति-असुरक्षित = हां के बजाय नीचे

deb [ allow-insecure=yes ] ...

— नरेश मेहता
स्रोत

दिलचस्प है, आपके उत्तर के लिए धन्यवाद। वास्तव में एक छोटा लेकिन महत्वपूर्ण अंतर।

— 0xC0000022L