为什么在将 URL 添加到sources.list 并使用 apt-get 下载安装应用程序之前，需要使用 apt-key 添加 GPG 密钥？

Question

为什么我需要先使用 apt-key 添加 GPG-key，然后再将下载 URL 添加到 apt/sources 并使用 apt-get install 下载安装？

原因很简单：安全。

首先，如果您不这样做，apt-get update则会抱怨找不到某些密钥，并且它下载了“不受信任”的软件包列表。如果你这样做，apt-get install它会问你两次用大字母表示您正在从不受信任的来源安装软件包。对于任何用户来说，此警告都会令人震惊（如果他们阅读它们），因此要防止“如何解决发现‘NOPUBKEY’”和类似的问题，存储库所有者通常会在开始之前包括如何添加密钥，以便用户不会错过此步骤。

其次，如果您错过了这一步并忽略了警告，则安全性是不完整的。您从未经验证的站点下载了一些软件包列表。任何破解都可能被某人利用，然后诱骗您安装恶意软件。如果您从一开始就添加了密钥，您将与存储库维护者进行从头到尾的安全事务。

第三，当你添加一个key时，就意味着你相信那把钥匙。您说系统您信任使用该密钥识别自己的人，并且您想从他那里安装软件。

Answer 1

为什么我需要先使用 apt-key 添加 GPG-key，然后再将下载 URL 添加到 apt/sources 并使用 apt-get install 下载安装？

原因很简单：安全。

首先，如果您不这样做，apt-get update则会抱怨找不到某些密钥，并且它下载了“不受信任”的软件包列表。如果你这样做，apt-get install它会问你两次用大字母表示您正在从不受信任的来源安装软件包。对于任何用户来说，此警告都会令人震惊（如果他们阅读它们），因此要防止“如何解决发现‘NOPUBKEY’”和类似的问题，存储库所有者通常会在开始之前包括如何添加密钥，以便用户不会错过此步骤。

其次，如果您错过了这一步并忽略了警告，则安全性是不完整的。您从未经验证的站点下载了一些软件包列表。任何破解都可能被某人利用，然后诱骗您安装恶意软件。如果您从一开始就添加了密钥，您将与存储库维护者进行从头到尾的安全事务。

第三，当你添加一个key时，就意味着你相信那把钥匙。您说系统您信任使用该密钥识别自己的人，并且您想从他那里安装软件。

为什么在将 URL 添加到sources.list 并使用 apt-get 下载安装应用程序之前，需要使用 apt-key 添加 GPG 密钥？

答案1

相关内容