0

独自の Debian リポジトリを作成しましたが、この問題があります。

私は知っている

  • --ignore-release-gpg

また

  • gpg --keyserver pgp.mit.edu --recv-keys xxxxxxxxx
  • gpg --armor --export xxxxxxxxx | apt-key add -

2 つの質問:

  1. apt-get がこの公開鍵をオンライン リポジトリから自動的にインポートしないのはなぜですか?
  2. 他のリポジトリでこのメッセージが表示されないのはなぜですか?
4

1 に答える 1

1

答え#1:それはその設計におけるセキュリティメカニズムです。APTは人間ではなく、何を誰が信頼するかを知りません。信頼できる人のキーリングにのみキーをインポートします。GPG検証は、パッケージコンテンツに対する中間者攻撃を防ぎ、アーカイブ/リポジトリにアップロードされたときと同じ状態にあるパッケージの整合性を検証します。このように、公式ミラーの管理者でさえ、あなたが気付かないうちにファイルを改ざんすることはできません。この質問も参照してください。

そして#2:いくつかのキーはインストール時にインストールされます。DebianアーカイブとDebian開発者のメインキーはパッケージdebian-keyringに含まれており、aptで使用するために信頼できるものとしてマークされています。

目標に戻ります-これらのエラーなしで独自のDebianパッケージリポジトリを維持します。最善の解決策は、アーカイブ内のすべてのパッケージに署名し、リポジトリのユーザーに公開鍵をインストールさせることです。これが通常の動作方法です。たとえば、VirtualBox.orgがこれを処理する方法を参照してください。

いくつかのランダムな落とし穴:新しいキーを追加した後、実行apt-get update(または)することを忘れないでください。aptitude update

Ubuntuを使用していて、自由なソフトウェアを構築している場合は、PPAの使用を検討してください。UbuntuのPPA(Personal Package Archives)には、検証に使用されるGPGキーとともにリポジトリをインストールするための使いやすいスクリプトが付属しています。(apt-add-repository ppa:my-ppa/myarchive

一部のWebサイトでは、構成を設定してAPTの検証を無効にする方法について言及しAPT::Get::AllowUnauthenticated yes;ています。すべてのリポジトリに影響するため、これを行うことはお勧めしません。

于 2012-09-10T14:19:16.733 に答える