Проверка пакета Debian

Question

Я хочу распространять пользовательский пакет .deb для всех debian pc в моей компании с периодическими обновлениями.

Что является лучшей стратегией для обеспечения безопасности распространения (например, избегать людей в средней атаке, которые меняют мой пакет с опасным ...)?

Мне нужно подписать пакет или достаточно, чтобы настроить частное репо https и установить подписанный сертификат ssl (я могу распространять свой сертификат CA на каждый компьютер ..)?

Спасибо, Игорь

Answer 1

Сочетание обоих. Вы должны подписать свои пакеты, чтобы убедиться, что то, что вы отправляете, - это то, что установлено. Затем у вас должно быть https на вашем веб-сайте, чтобы вы могли правильно передать свой ключ.

Если это полностью внутреннее развертывание, и вы говорите, что можете распространять ЦС, то вы можете пропустить распространение ключа https/website и добавить ключ хранилища, используя тот же механизм, который вы планировали установить ЦС.