我读过以下文章:如何绕过/忽略 apt 的 gpg 签名检查?
它概述了如何配置apt
为不检查包的签名根本不。
不过,我想限制此设置对单个(在本例中为本地托管)存储库的影响。
那是:全部官方存储库应照常使用 GPG 签名检查,除了为了本地仓库。
我该怎么做呢?
如果做不到这一点,在自动构建期间签署软件包(一些元软件包和一些程序)然后执行所有这些操作会有什么优势(安全方面)安全的apt
规定?毕竟,拥有存储库的主机也将是秘密 GPG 密钥所在的主机。
答案1
您可以在以下位置设置选项sources.list
:
deb [trusted=yes] http://localmachine/debian wheezy main
该trusted
选项用于关闭 GPG 检查。man 5 sources.list
详情请参阅。
注意:这是在 apt 0.8.16~exp3 中添加的。所以它是喘息的(当然还有杰西),但不是挤压的。
答案2
为了确保您在使用不安全的存储库时看到警告,最好使用allow-insecure=yes,如下所示
deb [ allow-insecure=yes ] ...