Eu li o seguinte artigo: Como faço para ignorar / ignorar as verificações de assinatura gpg do apt?
Ele descreve como configurar apt para não verificar as assinaturas de pacotes em todos .
No entanto, gostaria de limitar o efeito dessa configuração em um único repositório (no caso, localmente hospedado).
Ou seja: os repositórios oficiais all devem usar a verificação de assinatura GPG normalmente, exceto para o repo local .
Como eu faria isso?
Se isso não acontecer, qual seria a vantagem (em termos de segurança) de assinar os pacotes durante uma compilação automatizada (alguns meta-pacotes e alguns programas) e depois fazer tudo o que secure apt prescreve? Afinal, o host com o repositório também seria aquele em que a chave secreta do GPG reside.
Você pode definir opções no seu sources.list :
deb [trusted=yes] http://localmachine/debian wheezy main
A opção trusted é o que desativa a verificação de GPG. Veja man 5 sources.list para detalhes.
Nota: isso foi adicionado no apt 0.8.16 ~ exp3. Então, é no wheezy (e, claro, jessie), mas não squeeze.
Para garantir que você veja um aviso ao usar um repositório inseguro, use melhor allow-insecure = yes em vez disso, como abaixo
deb [ allow-insecure=yes ] ...
Tags apt repository