Warum muss ich einen GPG-Schlüssel mit apt-key hinzufügen, bevor ich eine URL zu sources.list hinzufüge und eine Anwendung mit apt-get herunterlade und installiere?

7

Ich habe heute eine Anwendung heruntergeladen. Die Anweisungen wurden Schritt für Schritt aufgelistet. Die Nummer eins war: Hinzufügen eines GPG-Schlüssels mit apt-key. Anschließend wurde die Anwendung zu apt / sources hinzugefügt und schließlich mit heruntergeladen apt-get install.

Ich kann mir nicht vorstellen, wie wichtig es ist, einen Schlüssel hinzuzufügen, bevor ich eine Anwendung herunterlade, nachdem ich die URL zu Quellen hinzugefügt habe.

Warum muss ich einen GPG-Schlüssel apt-keyhinzufügen, bevor ich apt / source eine Download-URL hinzufüge und mit herunterlade und installiere apt-get install?

Phil
quelle

Antworten:

6

Warum muss ich einen GPG-Schlüssel mit apt-key hinzufügen, bevor ich apt / source eine Download-URL hinzufüge und mit apt-get install herunterlade und installiere?

Der Grund ist einfach: Sicherheit.

Wenn Sie dies nicht tun, apt-get updatejammern Sie zunächst, dass einige Schlüssel nicht gefunden wurden, und laden Sie "nicht vertrauenswürdige" Paketlisten herunter. Wenn Sie dies tun apt-get install, werden Sie zweimal mit großen Buchstaben gefragt, ob Sie Pakete aus nicht vertrauenswürdigen Quellen installieren. Für jeden Benutzer wäre diese Warnung alarmierend (wenn er sie liest). Um zu verhindern, dass "NOPUBKEY gefunden" und ähnliche Fragen gelöst werden, geben Repository-Besitzer häufig an, wie sie ihre Schlüssel hinzufügen, bevor sie überhaupt anfangen, damit Benutzer dies nicht verpassen Schritt.

Zweitens ist die Sicherheit unvollständig, wenn Sie diesen Schritt verpassen und die Warnung ignorieren. Sie haben einige Paketlisten von einer Site heruntergeladen, die Sie nicht überprüft haben. Jeder Riss könnte von jemandem ausgenutzt worden sein und Sie dazu verleitet haben, schädliche Software zu installieren. Wenn Sie die Schlüssel seit dem Start hinzugefügt haben, haben Sie sichere Transaktionen von Anfang bis Ende mit dem Repository-Betreuer.

Drittens bedeutet das Hinzufügen eines Schlüssels, dass Sie diesem Schlüssel vertrauen . Sie sagen dem System, dass Sie der Person vertrauen, die sich mit diesem Schlüssel identifiziert, und Sie möchten Software von ihr installieren.

Braiam
quelle