Debianパッケージの確認

Question

私の会社のすべてのdebian pcにカスタム.debパッケージを定期的にアップデートして配布したいと思います。

配布物を安全にするための最善の戦略は何ですか（例えば、危険なもので私のパッケージを変更する中間の攻撃で人を避ける...）？

私はパッケージに署名する必要がありますか、httpsプライベートレポをセットアップして署名付きSSL証明書をインストールするのに十分です（私のCA証明書をすべてのPCに配布できます）。

感謝、 イゴール

Answer 1

両方の組み合わせ。送信しているものがインストールされているものであることを確認するには、パッケージに署名する必要があります。それから、あなたのウェブサイトにhttpsを持っていれば、あなたのキーを適切に伝えることができます。

完全に内部のデプロイメントで、CAを配布できるとすれば、https /ウェブサイトのキー配布をスキップし、CAのインストールと同じメカニズムを使用してリポジトリキーを追加することができます。