web-dev-qa-db-fra.com

Contourner la signature GPG vérifie uniquement pour un seul référentiel

J'ai lu l'article suivant: Comment contourner/ignorer les vérifications de signature gpg d'apt?

Il explique comment configurer apt pour ne pas vérifier du tout les signatures des packages .

Cependant, je voudrais limiter l'effet de ce paramètre sur un seul référentiel (dans ce cas hébergé localement).

C'est-à-dire: tous les dépôts officiels doivent utiliser la vérification de signature GPG comme d'habitude, sauf pour le dépôt local .

Comment pourrais-je procéder?

À défaut, quel serait l'avantage (sur le plan de la sécurité) de signer les packages lors d'une construction automatisée (certains méta-packages et quelques programmes), puis de faire tout cela secure apt prescrit? Après tout, l'hôte avec le référentiel serait également celui sur lequel réside la clé secrète GPG.

38
0xC0000022L

Vous pouvez définir des options dans votre sources.list:

deb [trusted=yes] http://localmachine/debian wheezy main

L'option trusted est ce qui désactive la vérification GPG. Voir man 5 sources.list pour plus de détails.

Remarque: cela a été ajouté dans apt 0.8.16 ~ exp3. C'est donc dans une respiration sifflante (et bien sûr Jessie), mais pas dans la compression.

52
derobert

Pour vous assurer que vous voyez un avertissement lors de l'utilisation d'un référentiel non sécurisé, utilisez plutôt allow-insecure = yes à la place comme ci-dessous

deb [ allow-insecure=yes ] ...
15
Naresh Mehta