He leído el siguiente artículo: ¿Cómo omito / ignoro las comprobaciones de firma gpg de apt?
Describe cómo configurar apt
para no comprobar las firmas de paquetes en absoluto .
Sin embargo, me gustaría limitar el efecto de esta configuración a un único repositorio (en este caso alojado localmente).
Es decir: todos los repositorios oficiales deben utilizar la verificación de la firma GPG como de costumbre, excepto para el repositorio local de .
¿Cómo voy a hacer eso?
De lo contrario, ¿cuál sería la ventaja (en términos de seguridad) de firmar los paquetes durante una compilación automatizada (algunos metapaquetes y algunos programas) y luego hacer todas lasapt
prescripciones seguras ? Después de todo, el host con el repositorio también sería aquel en el que reside la clave secreta GPG.
fuente
dput
(o lo que sea que Debian use) son muy elaboradas y parecen una gran exageración para el repositorio ad hoc solo local.reprepro
se encargará de generar el repositorio con todos los archivos de índice y diseño de directorio correctos automáticamente sin necesidad de una gran instalación de servidor de base de datos ... y también firmará el resultado básicamente sin trabajo adicional de su parte.Respuestas:
Puede establecer opciones en su
sources.list
:La
trusted
opción es lo que desactiva la verificación GPG. Verman 5 sources.list
para más detalles.Nota: esto se agregó en apt 0.8.16 ~ exp3. Entonces está en jadeo (y, por supuesto, Jessie), pero no exprimido.
fuente
1.0.1ubuntu2.7
que ya tendrá esa característica, dado su número de versión.Para asegurarse de que ve una advertencia mientras usa un repositorio inseguro, mejor use allow-insecure = yes en su lugar como a continuación
fuente