Hallo,
hab mir gestern den Abschnitt "Grundlagen" des Baustellen-Artikels mal genauer durchgelesen, weil ich darüber gestolpert bin, dass es je nach Paketersteller bzw. Fremdquelle unterschiedliche Anleitungen gibt, wie man die Schlüssel importieren bzw. verwenden soll (konkret: Ablegen in /etc/apt/trusted.gpg.d/
vs. /etc/apt/keyrings
)
Fazit: kB beschreibt das mal wieder super detailliert - und der Übersicht-Teil ist auch wirklich sehr übersichtlich. Ich glaub ich habs verstanden 😉
Mein Vorschlag wäre, aus dem Baustellen-Artikel zwei Artikel zu machen.
1. Grundlagen
2. Rest
Die "Vorsicht-Schilder" und Begriffe wie "Forderung" in dem Artikel sind mir ein paar zu viele bzw. zu absolut und wirken auf mich fast "moralisch". Das hätte ich gerne etwas reduziert auf einen, vielleicht zwei Hinweise. Und ansonsten möglichst technisch bleiben. Vielleicht kann ein Teil davon nach Fremdquellen wandern, da wird das Thema ja auch schon angesprochen. Bei dem ganzen "Vertrauens-Thema" wäre die Überlegung, ob so etwas in den GnuPG-Artikel kann oder in einen allgemeineren Artikel, der so Vertrauensverhältnis-Geschichten im Internet erklärt. Ist ja ein generelles Thema (auch bspw. bei Zertifikaten / CAs) und betrifft nicht nur apt. Würde dem sonst eher technisch und sachlich gehaltenen Artikel gut tun.
Hier noch konkreten Anmerkungen zu den einzelnen Abschnitten bis inkl. "Schlüssel beschaffen".
Die Wissensbox kann bei einer Aufteilung imho reduziert werden. Für das Verstehen der Grundlagen muss man z.B. nicht wissen, wie GnuPG funktionieret.
Die Einleitung find ich gut.
In der 1. Hinweisbox würde ich ergänzen "nicht mehr anwenden".
In der 2. Hinweisbox ist mir der zweite Punkt (besonders "Fehlerfreiheit" zu überflüssig). Das gilt für alle Software, auch ohne Fremdquellen.
In der 3. Hinweisbox der dritte Punkt ("Gewissen") scheint mir für einen technischen Artikel etwas flapsig. Hab aber gerade keinen konkreten Vorschlag.
Orte im Dateisystem:
"Auch diese Schlüssel haben globale Gültigkeit, in diesem Ordner dürfen deshalb keine Schlüssel von Fremdquellen abgelegt sein oder das eigene System muss als kompromittiert gelten." Das finde ich zu absolut - und es widerspricht vielen globalen Anleitungen. Auch wenn das deine Überzeugung ist, kB , so sollte zumindest erwähnt werden, dass einige Anleitungen den Schlüssel dort ablegen. Dann kann man schreiben "Besser ist allerdings /etc/apt/keyrings" ...
Rückfrage: Was passiert denn, wenn ein Schlüssel in /etc/apt/trusted.gpg.d
angelegt wird, die Fremdquellen via signed-by=
dann aber einzeln auf keys referenzieren? Das wird hier nur gestreift. Zitat "sofern diese nicht selbst einen ganz bestimmten Schlüssel vorschreibt." Das heißt, es wäre kein Problem, aber trotzdem verwirrend?
"Der Ordner /etc/apt/keyrings/ wird von APT zur Speicherung von Schlüsseln vorgeschlagen. Hier abgelegte Schlüssel haben keine globale Gültigkeit und werden von APT überhaupt nicht beachtet, es sei denn, man verknüpft explizit eine Paketquelle mit einem dieser Schlüssel." → perfekt erklärt, das war gestern der erhellende Faktor. Vielen Dank!
Da hier im Artikel nur auf /etc/apt/keyrings
genauer eingegangen wird, braucht imho /etc/apt/trusted.gpg{,d}
nicht nach Rechten überprüft werden. Das wurde ja hier gar nicht angefasst.
Die Einleitung in "Fremdquelle aktivieren" gehört imho nach Fremdquellen
"Auf den PPA-Seiten des Mozilla-Teams verstecken sich die Angaben zum Schlüssel hinter dem Link "Technical details about this PPA", den man erst anklicken muss." Gilt das nicht für alle PPAs bzw launchpad?
Soweit mal für heute.
Viele Grüße
BillMaier
EDIT: kleine Korrektur
EDIT: crosslink https://forum.ubuntuusers.de/post/9388694/