Est-ce une bonne pratique de re-signer tous les packages à partir d'un miroir pour plus de sécurité?
Si je devais refléter le repo ubuntu zesty, devrais-je re-signer tous les packages deb avec la clé de signature gpg de mon serveur (que les utilisateurs de mon site Web pourraient télécharger)? Ou dois-je laisser les packages tels quels?
Ne pas démissionnez des packages. Non seulement il n'est pas nécessaire de le faire, mais cela pourrait en fait nuire à moins que tous les clients soient des systèmes gérés faisant confiance à la clé de votre miroir.
Le gestionnaire de packages apt vérifie les packages signés par rapport à une liste de clés livrées par le fournisseur de la distribution (c'est-à-dire Ubuntu). Peu importe d'où viennent les colis, tant qu'ils sont correctement signés: si la signature est valide, le colis n'a pas été falsifié après avoir été émis par le propriétaire de la clé. Vous pouvez faire confiance au package, même s'il a été transmis par des canaux douteux! Tout miroir (y compris la distribution d'égal à égal et en fait, même les serveurs de référentiel en amont) peuvent être considérés comme des sources non fiables en ce qui concerne la validation de la signature du package, la source du package peut toujours être validée.
En échangeant les signatures avec une de vos propres clés, les signatures ne peuvent pas être validées par rapport au trousseau de clés intégré, mais cela doit être étendu par votre propre clé. Cela peut être raisonnable pour une base d'utilisateurs fermée (par exemple, tous les clients de l'entreprise), mais certainement pas pour les miroirs ouverts fournissant des services pour une base d'utilisateurs non gérée. Ceux-ci échoueraient à valider les signatures à moins qu'ils n'installent la clé (et donc fassent confiance à votre miroir) manuellement.