TranslateProject/published/202305/20230517.1 ⭐️ Ubuntu 23.10 To Bring Security Enhanced PPAs.md
2023-05-31 23:15:39 +08:00

91 lines
4.2 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

[#]: subject: "Ubuntu 23.10 To Bring Security Enhanced PPAs"
[#]: via: "https://news.itsfoss.com/ubuntu-23-10-set-to-let-you-easily-manage-ppas-while-enhancing-security/"
[#]: author: "Ankush Das https://news.itsfoss.com/author/ankush/"
[#]: collector: "lkxed"
[#]: translator: "ChatGPT"
[#]: reviewer: "wxy"
[#]: publisher: "wxy"
[#]: url: "https://linux.cn/article-15823-1.html"
Ubuntu 23.10 将引入安全增强的 PPA
======
> Ubuntu 23.10 正在修改 PPA 的管理方式。
![ubuntu 23.10 ppa][1]
Ubuntu 的升级不断地增强功能并添加安全修复程序。但是,很少见到一些核心机制的更改。
在 Ubuntu 23.10 中PPA 的功能得到了改进。至少,你在终端中看到警告会更少。
这是什么意思呢?让我详细说明一下。
### GPG 密钥问题
传统上PPA 和其他外部存储库是通过 `/etc/apt/sources.list.d/` 中的 `.list` 来源列表文件进行管理的。此外,还有一个关联的 GPG 密钥环被放在 `/etc/apt/trusted.gpg.d` 中。
这被认为是一个潜在的安全问题,因为 GPG 密钥是在系统级别上添加的。
怎么回事?想象一下,你为存储库 A 添加密钥以获取包 AA并从存储库 B 获取包 BB。你的系统将很乐意接受用存储库 A 的密钥签名的 BB 包。因为它无法将密钥与其各自的包关联起来。
这是个问题对吧这种旧机制正在逐步淘汰。现在GPG 密钥信息将添加到外部存储库本身的 `sources.list` 中。这样GPG 密钥将只接受其对应存储库的软件包。
现有的 Ubuntu 用户可能已经遇到了使用 `/etc/apt/trusted.gpg.d` 中的旧方法添加 GPG 密钥时出现的 `apt-key is deprecated` 警告。
以下是旧的 [添加外部存储库][3] 的方法的示例:
```
sudo apt install apt-transport-https curl
curl -sS https://dl.yarnpkg.com/debian/pubkey.gpg | sudo apt-key add -
sudo sh -c 'echo "deb https://dl.yarnpkg.com/debian/ stable main" >> /etc/apt/sources.list.d/yarn.list'
sudo apt update && sudo apt install yarn
```
### PPA 将使用新的 GPG 密钥机制
现在PPA 与添加外部存储库略有不同。在这里,你不需要手动导入 GPG 密钥并将其添加到 `/etc/apt/trusted.gpg.d` 目录中。
```
sudo add-apt-repository ppa:dr-akulavich/lighttable
sudo apt-get update
sudo apt-get install lighttable-installer
```
**直到现在**,所有事情都由 PPA 机制自己处理,与 PPA 相关联的 GPG 密钥会自动添加到 `/etc/apt/trusted.gpg.d` 目录中。用户在这里不需要做任何事情。
在 Ubuntu 23.10 中,引入了一种新的方法。
现在PPA 将作为 deb822 格式的 `.sources` 文件添加,其中密钥直接嵌入文件的 `Signed-By` 字段中。
使用这种方法,可以获得以下一些优点:
- 当删除存储库时,相关的密钥也会被删除。
- PPA 与其密钥之间一一对应。没有安全问题。
在揭示这一消息的邮件列表中也提到:
> 该密钥专门用于特定的 PPA无法用于其他存储库与旧的存放所有存储库的源列表的 `trusted.gpg.d` 不同)。其他密钥不能用于签署该 PPA。
总的来说,新的 PPA 版本将减少 “Key is stored in legacy trusted.gpg keyring” 和 “Manage keyring files in trusted.gpg.d instead” 警告。
我认为 Ubuntu 应该早些时候就引入这个改变,但迟到总比没有好。 😊
你对 Ubuntu 处理 PPA 的这个新改变有什么想法?请让我知道你的想法。
--------------------------------------------------------------------------------
via: https://news.itsfoss.com/ubuntu-23-10-set-to-let-you-easily-manage-ppas-while-enhancing-security/
作者:[Ankush Das][a]
选题:[lkxed][b]
译者ChatGPT
校对:[wxy](https://github.com/wxy)
本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出
[a]: https://news.itsfoss.com/author/ankush/
[b]: https://github.com/lkxed/
[1]: https://news.itsfoss.com/content/images/size/w1304/2023/05/ubuntu-better-ppa-management.png
[2]: https://itsfoss.com/apt-key-deprecated/?ref=news.itsfoss.com
[3]: https://itsfoss.com/adding-external-repositories-ubuntu/?ref=news.itsfoss.com