Проверка подлинности устанавливаемых приложений
При установке программ в Linux через команду apt-get install скачивается и устанавливается ключ gpg.
Скажите,
1. Где этот ключ можно посмотреть? Команда gpg --list-key такие ключи не отображает.
2. Для чего используются эти ключи, для идентификации устанавливаемых приложений?
комментариев: 9796 документов: 488 редакций: 5664
Такой ключ в этой команде не скачивается, он уже поставлен при инсталляция дистра. Исключение: обновление пакетов keyring и относящихся к apt.
Рекомендуется время от времени делать apt-get update. Кажется, оно обновляет и ключи и репозитории, но unknown'у виднее. Главные ключи, на которые всё завязно, зашиты в сам дистрибутив, да. Доверие ко вторичным ключам, которые скачиваются, видимо, устанавливается по наличии на них подписи ключом дистрибутива.
комментариев: 1060 документов: 16 редакций: 32
Доверие ко всем apt ключам устанавливается по их наличию в файле /etc/apt/trusted.gpg или файлах в директории /etc/apt/trusted.gpg.d/
Для добавления нового репозитория их нужно туда добавить,чтобы установить пакеты из него. apt-key данный процесс автоматизирует.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 1060 документов: 16 редакций: 32
Да, в принципе ничто не мешает сделать это в postint скрипте из deb пакета.