Arch: Ist "SigLevel = Never" der einzig bequeme Weg?

7

Der einzige Weg , ich Mehrheit der Pakete ohne Ablehnung von Signaturdatenbank installieren kann , ist zu setzen SigLevel = Neverin pacman.conf.

Es sollte nicht der richtige Weg sein, aber ich scheine nicht in der Lage zu sein, Pacman zu anderen Optionen für SigLevel zu bewegen.

Ist das, was ich richtig mache? Und ist es eine häufige und häufige Sicherheitsbedrohung, über die ich mir jede Sekunde Tag und Nacht Sorgen machen sollte?

Vielen Dank.

Haix64
quelle

Antworten:

6

Ab Ende dieses Monats, März 2012, sind alle Pakete in den Hauptdatenbanken (Core, Extra, Community und Multilib) und ihre Testvarianten signiert. Dies bedeutet , dass Sie in der Lage sind, und sollten sich überlegen , ob Sie Ihre Maschine bei der Sicherung, Nutzung interessiert sind Requiredin Ihrem SigLevel.

Nachdem Sie die Hauptschlüssel überprüft und signiert haben, dauert es nicht lange, bis die anderen Schlüssel für die tägliche Aktualisierung Ihres Computers autorisiert sind.

Es wäre sehr übertrieben, dies als Unannehmlichkeit zu bezeichnen, und es wird mehr als ausgeglichen durch die Sicherheit, die Sie auf lange Sicht genießen werden, wenn Sie dies jetzt richtig einrichten.

Jasonwryan
quelle
Ja, Sie haben Recht, was für mich bedeutet, dass Sie sich eingehender mit Studien befassen, und ich entschuldige mich dafür, dass die Frage irgendwie dumm ist! :-D Aber ich habe noch eine andere Frage: Was ist, wenn ich Pakete offline installiere und --cachedirdamit Packman darüber informiere? Was ist in diesem Fall der richtige Ansatz? (Danke)
Haix64
Sie verwenden immer noch pacman, um die Pakete zu installieren. Wenn Sie sie selbst erstellen, können Sie Pacmans Schlüsselbund Ihren eigenen Schlüssel hinzufügen .
Jasonwryan
Nein, nein, ich verwende die Repository-Pakete. Ich musste Arch nur auf 2-3 PCs installieren, als ich das erste Mal damit anfing, und weil ich nicht jedes Mal alle Pakete herunterladen wollte, einschließlich LXDE, kopierte ich sie von /var/cache/pacman/pkg/und versuchte sie auf anderen PCs zu verwenden. Aber ich habe immer den Signaturfehler bekommen. Darum habe ich gefragt. ;-)
Haix64
2

Wenn Sie sich nicht darum kümmern wollen, machen Sie es wie ich:

SigLevel = Optional TrustAll
Gilles Quenot
quelle
Wir wissen, dass SigLevel eine Sicherheitsüberlegung ist und es nicht so sein wird, dass Sie sofort zum Opfer werden SigLevel = None, aber wie viel Optional TrustAllerhöht die Sicherheit wirklich in einer Weise, die die täglichen Aktionen des Benutzers beeinflusst? Und warum sollten in den Repositorys Pakete aufgeführt sein, deren Entwicklerschlüssel von pacman nicht vertrauenswürdig sind? Wie würde das Repository dann bedeuten, sicher und vertrauenswürdig zu sein?
Haix64