添加儲存庫（密鑰環、源列表等）時（為了您的安全）需要注意什麼？

您好，這似乎是非常基本和一般的問題。（但）

很多時候，當我安裝軟體時，添加新的儲存庫是要走的路。我習慣按照我在網際網路上找到的說明進行操作，如下所示：

curl -s https://example-browser-apt-release.s3.example.com/example-core.asc | sudo apt-key --keyring /etc/apt/trusted.gpg.d/example-browser-release.gpg add -

source /etc/os-release

echo "deb [arch=amd64] https://example-browser-apt-release.s3.example.com/ $LINUXDISTRO_CODENAME main" | sudo tee /etc/apt/sources.list.d/example-browser-release-${LINUXDISTRO_CODENAME}.list

sudo apt update

sudo apt install example-browser

但是我真的不明白它儲存在哪裡。

1. 它們是否都儲存在一個地方？
2. 是否可以看到我隨著時間的推移添加了哪些儲存庫以及何時添加
3. 密鑰儲存在哪裡
4. 還有什麼方法可以查看我添加的時間和時間
5. 如果我不喜歡該軟體，刪除它們是否重要？

我知道我問了很多問題，也許這是基本的。也許我在這裡遺漏了一個組件，我在安裝外部儲存庫時應該注意。歡迎任何見解。

非常感謝你。

這僅適用於 apt 系統，其他包管理器會有所不同。

它們是否都儲存在一個地方？

您是指包檔案還是指向儲存庫的文件？包存檔儲存在 /var/cache/apt/archives 中。特定的 repo 文件或條目儲存在 /etc/apt/sources.list 或 /etc/apt/sources.list.d/*.list 中。請注意，在列出 repo 的位置和包含該列表的文件之間根本沒有必要的聯繫。例如，您可以擁有，事實上，Debian 過去預設使用 /etc/apt/sources.list 中的大多數儲存庫。或者你可以在一個opera.list 文件中有一個來自google 的repo，文件名並不重要，重要的是.list。但是為了使事情更可預測和可維護，使 repo 文件名對應於它指向的實際 repo 並不是一個壞主意。

是否可以看到我隨著時間的推移添加了哪些儲存庫以及何時添加

您可以查看哪些儲存庫，我使用 inxi 因為它很簡單。

inxi -r
Repos:
 Active apt repos in: /etc/apt/sources.list 
 1: deb http://mirrors.kernel.org/debian unstable main contrib non-free
 2: deb http://mirrors.kernel.org/debian/ buster main non-free contrib
 3: deb http://security.debian.org/debian-security buster/updates main contrib non-free
 4: deb https://liquorix.net/debian unstable main
 5: deb http://www.deb-multimedia.org/ buster main non-free
 Active apt repos in: /etc/apt/sources.list.d/google-chrome.list 
 1: deb [arch=amd64] http://dl.google.com/linux/chrome/deb/ stable main
 Active apt repos in: /etc/apt/sources.list.d/opera-stable.list 
 1: deb https://deb.opera.com/opera-stable/ stable non-free #Opera Browser (final releases)

你也可以這樣做：

cat /etc/apt/sources.list /etc/apt/sources.list.d/*.list

但這更難閱讀，更難輸入，並且不清楚哪個文件包含什麼。inxi 旨在清晰地顯示該資訊。

我相信添加它們時可以看到的唯一方法是添加單個 repo 文件，然後查看文件創建時間戳。可能還有其他方法，但我不知道。

密鑰儲存在哪裡

好問題，從來沒想過。我看看能不能找到那個。

根據：https ://wiki.debian.org/SecureApt

它們位於 /etc/apt/trusted.gpg.d 和文件 /etc/apt/trusted.gpg

ls /etc/apt/trusted.gpg.d -w 1
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-jessie-automatic.gpg
debian-archive-jessie-security-automatic.gpg
debian-archive-jessie-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg
deb-multimedia-keyring.gpg

將我擁有的 repos 與這些進行比較，看起來至少有一些 repos 實際上儲存在 /etc/apt/trusted.gpg 中，這是一個非零文件大小的文件。

還有什麼方法可以查看我添加的時間和時間

同樣的問題，同樣的答案。

如果我不喜歡該軟體，刪除它們是否重要？

您應該避免混亂，並避免每次您實際上不需要該數據時都必須在 apt-get update 上獲取 repo 數據。另外，隨機儲存庫有時會消失、更改或中斷，此時您將遇到令人討厭的 apt update 無法調試。還要確保使用 apt-get remove –purge 來避免在系統上留下您真正不想要的軟體的配置文件。如果沒有 –purge 選項，配置文件將保留在原處。

話雖如此，請注意邁克爾霍納在他的評論中所說的話，如果安全是您的主要關注點，我認為這實際上是正確的答案。

引用自：https://unix.stackexchange.com/questions/529723