Linux中國

Ubuntu 23.10 將引入安全增強的 PPA

Ubuntu 的升級不斷地增強功能並添加安全修復程序。但是,很少見到一些核心機制的更改。

Ubuntu 23.10 中,PPA 的功能得到了改進。至少,你在終端中看到警告會更少。

這是什麼意思呢?讓我詳細說明一下。

GPG 密鑰問題

傳統上,PPA 和其他外部存儲庫是通過 /etc/apt/sources.list.d/ 中的 .list 來源列表文件進行管理的。此外,還有一個關聯的 GPG 密鑰環被放在 /etc/apt/trusted.gpg.d 中。

這被認為是一個潛在的安全問題,因為 GPG 密鑰是在系統級別上添加的。

怎麼回事?想像一下,你為存儲庫 A 添加密鑰以獲取包 AA,並從存儲庫 B 獲取包 BB。你的系統將很樂意接受用存儲庫 A 的密鑰簽名的 BB 包。因為它無法將密鑰與其各自的包關聯起來。

這是個問題,對吧?這種舊機制正在逐步淘汰。現在,GPG 密鑰信息將添加到外部存儲庫本身的 sources.list 中。這樣,GPG 密鑰將只接受其對應存儲庫的軟體包。

現有的 Ubuntu 用戶可能已經遇到了使用 /etc/apt/trusted.gpg.d 中的舊方法添加 GPG 密鑰時出現的 apt-key is deprecated 警告。

以下是舊的 添加外部存儲庫 的方法的示例:

sudo apt install apt-transport-https curl
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
sudo sh -c 'echo "deb https://dl.yarnpkg.com/debian/ stable main" >> /etc/apt/sources.list.d/yarn.list'
sudo apt update && sudo apt install yarn

PPA 將使用新的 GPG 密鑰機制

現在,PPA 與添加外部存儲庫略有不同。在這裡,你不需要手動導入 GPG 密鑰並將其添加到 /etc/apt/trusted.gpg.d 目錄中。

sudo add-apt-repository ppa:dr-akulavich/lighttable
sudo apt-get update
sudo apt-get install lighttable-installer

直到現在,所有事情都由 PPA 機制自己處理,與 PPA 相關聯的 GPG 密鑰會自動添加到 /etc/apt/trusted.gpg.d 目錄中。用戶在這裡不需要做任何事情。

在 Ubuntu 23.10 中,引入了一種新的方法。

現在,PPA 將作為 deb822 格式的 .sources 文件添加,其中密鑰直接嵌入文件的 Signed-By 欄位中。

使用這種方法,可以獲得以下一些優點:

  • 當刪除存儲庫時,相關的密鑰也會被刪除。
  • PPA 與其密鑰之間一一對應。沒有安全問題。

在揭示這一消息的郵件列表中也提到:

該密鑰專門用於特定的 PPA,無法用於其他存儲庫(與舊的存放所有存儲庫的源列表的 trusted.gpg.d 不同)。其他密鑰不能用於簽署該 PPA。

總的來說,新的 PPA 版本將減少 「Key is stored in legacy trusted.gpg keyring」 和 「Manage keyring files in trusted.gpg.d instead」 警告。

我認為 Ubuntu 應該早些時候就引入這個改變,但遲到總比沒有好。 ?

你對 Ubuntu 處理 PPA 的這個新改變有什麼想法?請讓我知道你的想法。

via: https://news.itsfoss.com/ubuntu-23-10-set-to-let-you-easily-manage-ppas-while-enhancing-security/

作者:Ankush Das 選題:lkxed 譯者:ChatGPT 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國