Por que eu preciso adicionar uma chave GPG com o apt-key antes de adicionar URL ao sources.list e instalar por download um aplicativo com o apt-get?

6

Eu baixei um aplicativo hoje. Ele tinha suas instruções listadas, passo a passo, sendo o número um: adicionando uma chave GPG com apt-key . Ele foi seguido pela adição do aplicativo ao apt / sources e finalmente baixado com apt-get install .

Não consigo entender a necessidade de adicionar uma chave antes de fazer o download de um aplicativo depois de adicionar o URL às fontes.

Por que eu preciso adicionar uma chave GPG com apt-key antes de adicionar uma URL de download ao apt / sources e fazer o download da instalação com apt-get install ?

    
por Phil 21.10.2013 / 13:15

1 resposta

5

Why do I need to add a GPG-key with apt-key before adding a download URL to apt/sources and downloading-installing with apt-get install?

O motivo é simples: segurança.

Primeiro, se você não fizer isso, apt-get update reclamará que algumas chaves não foram encontradas e baixou as listas de pacotes "não confiáveis". Se você fizer apt-get install , ele perguntará duas vezes com letras grandes que você está instalando pacotes de fontes não confiáveis. Para qualquer usuário, este aviso seria alarmante (se eles forem lidos), então para evitar "Como resolver 'NOPUBKEY' encontrado" e questões similares, os proprietários de repositórios geralmente incluem como adicionar suas chaves antes mesmo de iniciar para que os usuários não percam este passo.

Segundo, se você perder esta etapa e ignorar o aviso, a segurança estará incompleta. Você fez o download de uma lista de pacotes de um site que não foi verificado. Qualquer rachadura pode ter sido explorada por alguém, enganando você para instalar softwares maliciosos. Se você adicionou as chaves desde o início, você terá transações seguras de ponta a ponta com o mantenedor do repositório.

Em terceiro lugar, quando você adiciona uma chave, isso significa que você confia nessa chave. Você diz que o sistema que você confia na pessoa que se identifica com essa chave, e você deseja instalar o software dele.

    
por 21.10.2013 / 13:31

Tags