为什么在将 URL 添加到sources.list 并使用 apt-get 下载安装应用程序之前,需要使用 apt-key 添加 GPG 密钥?

为什么在将 URL 添加到sources.list 并使用 apt-get 下载安装应用程序之前,需要使用 apt-key 添加 GPG 密钥?

我今天继续下载了一个应用程序。它一步步列出了说明,第一个是:添加带有 .gpg 密钥的 GPG 密钥apt-key。接下来将应用程序添加到 apt/sources 中,最后使用apt-get install.

在将 URL 添加到源之后下载应用程序之前,我无法理解是否需要添加密钥。

为什么我需要先添加 GPG 密钥,apt-key然后再将下载 URL 添加到 apt/sources 并使用 进行下载安装apt-get install

答案1

为什么我需要先使用 apt-key 添加 GPG-key,然后再将下载 URL 添加到 apt/sources 并使用 apt-get install 下载安装?

原因很简单:安全。

首先,如果您不这样做,apt-get update则会抱怨找不到某些密钥,并且它下载了“不受信任”的软件包列表。如果你这样做,apt-get install它会问你两次用大字母表示您正在从不受信任的来源安装软件包。对于任何用户来说,此警告都会令人震惊(如果他们阅读它们),因此要防止“如何解决发现‘NOPUBKEY’”和类似的问题,存储库所有者通常会在开始之前包括如何添加密钥,以便用户不会错过此步骤。

其次,如果您错过了这一步并忽略了警告,则安全性是不完整的。您从未经验证的站点下载了一些软件包列表。任何破解都可能被某人利用,然后诱骗您安装恶意软件。如果您从一开始就添加了密钥,您将与存储库维护者进行从头到尾的安全事务。

第三,当你添加一个key时,就意味着你相信那把钥匙。您说系统您信任使用该密钥识别自己的人,并且您想从他那里安装软件。

相关内容