Paquets GPG Signés
Pour être sûr que les paquets qui sont disponibles sur mon repository je signe ces paquets avec GPG. Comme ça, même si mon serveur est compromis et qu'un paquet bidouillé est mis à la place d'un de mes paquets officiels la signature GPG hurlera et vous évitera d'installer un paquet foireux.
Pour pouvoir utiliser des paquets signés, en deux temps ça donne ceci:
- prendre la clé, ma keyid est E5DD0910; vérifiez ensuite que je suis qqn de "correct" ie que ma clé a été contre-signée par des personnes dignes de confiance ou de votre réseau de confiance
gpg --keyserver wwwkeys.eu.pgp.net --recv-key E5DD0910
- et enfin expliquez à APT qu'il peut faire confiance aux paquets de ce packageur:
gpg --armor --export E5DD0910 | apt-key add -