我也刚知道这个,特意广泛传播下。
https://wiki.debian.org/DebianRepository/UseThirdParty
用 Debian 十几年,今天才知道 apt-key add 来加第三方源 keyring 的做法是错误的。 正确的做法是:
- 把 keyring 下载到 /usr/share/keyrings 下面
- 在 sources.list 里用 sign-by 指定给这个第三方源
- 在 apt pref 里 pin-priority: 100 以允许第三方源升级自己的包,但不能升级 Debian 的包
Docker 和 Kubernetes 的安装说明改了,但是并没有设置 pin-priority,如果 docker 公司想搞鬼,甚至能升级用户系统的 libc。 Debian 做的还真是严谨。
国内的文档还是一搜一大把的 apt-key add,我以前也这么干,没想太多🤣
另外也顺带发现 sources.list 新增了一个 deb822-style 格式,以 .sources 为后缀,格式是每行一个 key: value,参考 sources.list(5) — apt — Debian buster — Debian Manpages