keyringの扱いについて相談して知見を得た

3rd Partyのリポジトリのパッケージを使うときに、そこが提供しているキーリングをインストールしようとすると警告される。 これはこれで正しいのだけれども、なんだか微妙だ。

% sudo apt install -y -V apt-transport-https
% sudo apt update --allow-insecure-repositories
% sudo apt install -y -V --allow-unauthenticated groonga-keyring
% sudo apt update
% sudo apt install -y -V groonga

上記はgroonga.orgからパッケージをインストールする手順なのだけれども、--allow-insecure-repositories やら --allow-unauthenticated なんてオプションをつけてコマンドを実行しないといけない。しかもそれでも警告はでるので不安になる。

いっそのこと、groonga-keyringをDebian公式に入れてしまえばいいんじゃないだろうか、という案がでた。 ただしなんだか筋がよくないような気がしてもやもやしていたのでdebian-develで相談してみた。

Q: Where is keyring packaging guideline?

結局のところ、わざわざkeyringをDebian公式に入れなくてもいいやり方があった。 Paulさんがそういうときのドキュメントがあるよ、と教えてくれた。

DebianRepository/UseThirdParty - Debian Wiki

keyringをhttpsなサイトにおいて、wgetで/usr/share/keyringsに配置、apt-lineでは以下のような感じで signed-by を指定する、という塩梅だった。

deb [signed-by=/usr/share/keyrings/groonga-archive-keyring.gpg] https://packages.groonga.org/debian/ stretch main