我知道以前有人问过这个问题,但我不接受“您可以清楚地看到自定义添加”的答案。当我添加 ppa 时(我已经多年没有这样做了),我在键盘上按下了一个标有“Enter”的键,这允许我在新条目之前添加一个空行(我什至会添加一个解释性评论,但我是一个技术作家,所以......)。我喜欢我的sources.conf干净整洁。
/etc/apt/sources.d
意味着我有六个文件要解析,而不仅仅是一个。
AFAIK,拥有一个配置文件与 6 个配置文件“绝对”没有优势(为了争论,也许你有 3 个甚至 2 个,没关系...... 1 仍然胜过 2)。
有人可以提出一个合理的优势,“你可以清楚地看到自定义添加”是一个穷人的借口。
我必须补充一点,我喜欢改变,但是,只有当改变带来好处时。
第一次回复后编辑:
它允许需要自己的存储库的新安装不必搜索平面文件以确保它不会添加重复的条目。
现在,他们必须在目录中搜索欺骗而不是平面文件。除非他们认为管理员不会改变事情......
它允许系统管理员轻松禁用(通过重命名)或移除(通过删除)存储库集,而无需编辑整体文件。
管理员必须在 grep 目录中找到合适的文件来重命名,在此之前,他会搜索一个文件并注释掉一行,“几乎”任何管理员的 sed 单行。
它允许包维护者提供一个简单的命令来更新存储库位置,而不必担心无意中更改不相关存储库的配置。
我不明白这个,我“假设”包维护者知道他的存储库的 URL。同样,必须sed使用目录而不是单个文件。
我发布了一个 Debian 存储库。它使用 4096 位 GPG 密钥进行签名,并且在 Debian 7 和 Debian 8 系统中使用了一段时间。最近,我的一位用户报告说 Debian 9 有问题。具体来说,apt-get update正在产生:
阅读包裹清单...完成 W:GPG 错误:http: //Debian-repository.JdeBP.info。稳定的 InRelease:以下签名无效:A71733F3CEBD655CB25A0DDCE1E3A497555CE68F W:存储库' http://Debian-repository.JdeBP.info。稳定 InRelease' 未签名。
请注意,与“回购 APT 安全 - apt-get 更新 GPG 签名无效”和“对 aptly 和 GPG 签名感到沮丧”中的人不同,我没有使用aptly. 很明显,我没有遭受aptly任何类型的错误。(-:
那么问题是什么?
要安装 Sublime,它需要我添加一个 GPG 密钥和一个 sources.list 条目,以便 apt-get 可以找到它。其他几个程序也提出了同样的要求。为什么向sources.list 添加更多域不会带来安全风险?
即:假设包 A 应该来自主机 B。我将主机 C 添加到新的 sources.list 中。主机 C 被破坏,攻击者托管一个恶意包并将其称为 A。下次我尝试更新 A 时,apt-get 检查源并决定从 C 而不是 B 下载它,我得到了恶意版本。