Como eu desconfio de uma chave do Apt no Debian Linux?

Navegue suas respostas
4

Como eu desconfio de uma chave Apt no Debian Linux , ou evito que uma seja silenciosamente adicionada via apt-key (como a maioria dos pacotes comerciais tendem a fazer em postinst scripts)?

Se eu executar apt-key adv --edit-key ... trust , não parece ter efeito: 

# apt-key adv --edit-key D38B4796 trust
Executing: /tmp/apt-key-gpghome.poumWAEgYJ/gpg.1.sh --edit-key D38B4796 trust
gpg (GnuPG) 2.1.18; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  rsa4096/7721F63BD38B4796
     created: 2016-04-12  expires: never       usage: SC  
sub  rsa4096/1397BC53640DB551
     created: 2016-04-12  expires: 2019-04-12  usage: S   
sub  rsa4096/6494C6D6997C215E
     created: 2017-01-24  expires: 2020-01-24  usage: S   
[ unknown] (1). Google Inc. (Linux Packages Signing Authority) <[email protected]>

pub  rsa4096/7721F63BD38B4796
     created: 2016-04-12  expires: never       usage: SC  
sub  rsa4096/1397BC53640DB551
     created: 2016-04-12  expires: 2019-04-12  usage: S   
sub  rsa4096/6494C6D6997C215E
     created: 2017-01-24  expires: 2020-01-24  usage: S   
[ unknown] (1). Google Inc. (Linux Packages Signing Authority) <[email protected]>

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 2

pub  rsa4096/7721F63BD38B4796
     created: 2016-04-12  expires: never       usage: SC  
sub  rsa4096/1397BC53640DB551
     created: 2016-04-12  expires: 2019-04-12  usage: S   
sub  rsa4096/6494C6D6997C215E
     created: 2017-01-24  expires: 2020-01-24  usage: S   
[ unknown] (1). Google Inc. (Linux Packages Signing Authority) <[email protected]>
Please note that the shown key validity is not necessarily correct
unless you restart the program.

gpg>

- então, quando eu executar novamente o apt-key list , o nível de confiança ainda será unknown : 

# apt-key list D38B4796
pub   rsa4096 2016-04-12 [SC]
      EB4C 1BFD 4F04 2F6D DDCC  EC91 7721 F63B D38B 4796
uid           [ unknown] Google Inc. (Linux Packages Signing Authority) <[email protected]>
sub   rsa4096 2016-04-12 [S] [expires: 2019-04-12]
sub   rsa4096 2017-01-24 [S] [expires: 2020-01-24]
    
por Bass 12.10.2018 / 13:11

1 resposta

3

Até onde sei, as configurações de confiança nas chaves não afetam apt . Confiança neste contexto refere-se ao valor dado a assinaturas de outras chaves feitas com uma dada chave; é sobre confiança transitiva na rede de confiança, não confiança na validade de assinaturas de pacotes (ou melhor, assinaturas de repositórios) feitas com uma determinada chave.

Para "desconfiar" de uma chave de repositório, você precisa excluí-la.

Para evitar que os pacotes instalem novos chaveiros, você pode adicionar um arquivo a /etc/dpkg/dpkg.cfg.d/ , chamado por exemplo no-new-keyrings , contendo 

# Skip installation of new keyrings by default, but allow Debian keyrings
path-exclude=/etc/apt/trusted.gpg.d/*
path-include=/etc/apt/trusted.gpg.d/debian-archive-*

Isso não impedirá que os pacotes instalem chaves usando apt-key ; fazer isso provavelmente envolveria escrever um wrapper.

    
por 12.10.2018 / 13:21

Tags

Como imprimir todos os atributos de um parâmetro zsh? Copie os arquivos sob o nome modificado