Você pode precisar considerar a seguinte situação quando se trata de segurança do repositório apt. Você encontrará sua resposta abaixo.
Você está adicionando um repositório não confiável
Como qualquer um pode criar um par de chaves público-privado, apenas validar o conteúdo baixado ou o apt-index com a chave pública não resolverá o problema quando o autor do repositório e o proprietário da chave colocarem o software malicioso em o repositório.
Ele criaria um par de chaves. Assine o conteúdo com sua chave privada, carregue o conteúdo no repositório e, em seguida, faça upload de sua chave pública
Em seguida, adicione o repositório, baixe a chave pública dele e tente verificar. O Apt iria verificar sem emitir mensagens de aviso. Você pode sentir que está seguro, mas não está. Tem certeza de que acredita na pessoa que enviou o conteúdo?
Você adicionou um repositório cujo conteúdo foi enviado por uma pessoa que você conhece
Isso pode parecer seguro. Você sabe o nome da pessoa e vê que ele assinou o conteúdo do repositório e também o índice. Neste caso também você é inseguro. Qualquer um pode representar o nome.
Nesse caso, você precisa verificar a chave pública. Você deve estar ciente da chave pública dessa pessoa e ter certeza disso. Se você conhece a pessoa e vê que o repositório precisa de uma chave pública diferente para validar o conteúdo, então você não deve confiar nesse repositório.
Você deve conhecer o nome da pessoa e seu par de chaves públicas para validar a autenticidade do repositório. Se algum deles estiver errado, não confie no repositório.
Esta é a razão pela qual os círculos de geeks e hackers têm festas de autógrafos em que se encontram pessoalmente, engatam umas às outras prova de identidade válida e, em seguida, estabelecer confiança
Você conhece a pessoa, tem a chave pública correta, mas o apt mostra avisos
Este pode ser o caso quando você está tentando adicionar o repositório, mas seu computador não está obtendo o URL correto. Esta pode ser a situação em que o DNS não está funcionando corretamente e alguém está tentando induzi-lo a adicionar o repositório errado pelo envenenamento do cache DNS .
Se você receber um aviso de apt, mesmo quando tiver a chave pública correta, ABORT. Não vá em frente. Este terceiro caso é geralmente muito raro e você não deve se preocupar em encontrar essa situação.
Conclusão
-
Quando você quiser adicionar um repositório e quiser ter certeza de que estão adicionando o repositório correto, você precisa conhecer a pessoa que carregou o conteúdo e deve ter certeza sobre sua chave pública.
-
Valide o repositório apenas em relação à sua chave pública e não à chave qual proprietário do repositório pede para você verificar. Isto é o mecanismo mais seguro. Como mencionado acima, não é seguro, mesmo se apt não dá avisos ao adicionar um repositório. O conteúdo pode seja malicioso.
-
Mesmo se você estiver usando um repositório bem conhecido e, em seguida, apt reclama, então isso significa que você não está adicionando o correto repositório. Você não é seguro.