Debian. Як я можу надійно отримати debian-archive-keyring, щоб я міг зробити оновлення apt-get? NO_PUBKEY

У мене є улов 22, який намагається:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

На сторінці http://wiki.debian.org/SecureApt#Other_problems він зазначає, що проблема NO_PUBKEY "означає, що архів почав підписуватися новим ключем, про який ваша система не знає ... і як тільки система подається новий ключ (оновивши пакет debian-archive-keyring), попередження піде "

Гаразд, але збочено:

   apt-get install debian-archive-keyring 

дає мені:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

і рішення для цього - зробити оновлення apt-get

У відрі є отвір, шановна ліза.

Чи може хтось порушити цикл для мене?

-

Примітка: мій /etc/apt/sources.list:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free

Чи може хтось порушити цикл для мене?

Ви в основному просто відчуваєте стандартну проблему завантаження для криптографії відкритого ключа .

У багатьох місцях можна завантажити відкриті ключі для різних архівів, але часто вони не надаються через HTTPS, а будь-які файли контрольної суми доставляються з того самого місця.

Це вікі-посилання, яке ви надали, посилається на https://ftp-master.debian.org/keys.html, яке містить копію ключів, які ви можете завантажити через SSL. Проблема, звичайно, полягає в тому, що сертифікат на ftp-master.debian.org підписаний ca.debian.org, який не поширюється з найбільш поширеними веб-браузерами.

Ви, як правило, просто повинні знайти спосіб отримати копію debian-archive-keyring або поточний ключ із системи, якій ви довіряєте, та встановити її у вашу систему. Якщо ви справді параноїк, вам, можливо, доведеться схопити копію архіву, а хтось ще захопить копію з іншого дзеркала на іншому комп’ютері через іншу мережу. Потім порівняйте контрольні суми.

Якщо ви не є надзвичайно параноїком, або перебуваєте в середовищі підвищеної безпеки, просто дозвольте apt-get install debian-archive-keyringвстановити та ігноруйте попередження.

Для того, щоб хтось встановив MITM між вами та деяким випадковим дзеркалом http.us.debian.org, знадобиться багато зусиль. Як тільки вони це зробили, їм доведеться створити власний спеціальний пакет debian-archive-keyring, включаючи свій злий ключ на додаток до стандартних ключів. Тоді їм доведеться перебудувати деякі пакети, щоб змусити вас встановити щось зло на вашу систему. Докладені зусилля не були б банальними.

Debian, як правило, робить досить непогану роботу, додаючи ключі, які в майбутньому будуть використовуватися для підпису пакунків до пакету debian-archive-keyring. Це один пакет, який ви дійсно хочете бути в курсі. Таким чином, ви введете ключі, встановлені до того, як вони будуть використані для підписання речей, і ця проблема в майбутньому у вас не виникне.

Ваша проблема полягає в тому, що ви також не встановили debian-keyring. Просто запустіть наступне:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Це воно.

Debian - Apt-get: помилка NO_PUBKEY / GPG

У комп’ютерах, заснованих на операційній системі Debian, що використовує ядро ​​Linux, можуть з’являтися повідомлення про помилки як "NO_PUBKEY". Це відбувається під час використання інструменту командного рядка Apt-Get, і ця помилка пов'язана з функцією оновлення інструменту. Нова функція в інструменті управління пакетами Apt-Get гарантує справжність сервера перед оновленням Debian OS. Ось чому спливає помилка "NO_PUBKEY". Цю проблему можна вирішити, ввівши відповідні команди.

Просто введіть наступні команди, подбаючи про те, щоб замінити номер нижче на номер ключа, який відображався у повідомленні про помилку:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -

Дві речі:

1. Ваш файл source.list може бути неправильним; Ви впевнені, що це правильні лінії для цих репостів?

2. Вам доведеться вручну знайти файли Release.gpg у цих репортах та оновити брелок:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Ви можете грати з вогнем, змішуючи ленні зі стабільним репо

apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY

Правильно це зробити - це не турбуватися про надійне отримання ключа до вашої машини, але можливість точно перевірити шлях довіри до ключа, як тільки ви його матимете на своїй машині. Це означає, що ви хочете знайти ланцюжок підписів, де ваш ключ gpg використовувався для підпису чийогось ключа, який використовувався для підписання чийогось ключа ... щоб ви врешті знайшли когось, хто підписав ключ архіву.

Це, очевидно, буде нудно, якби ви намагалися зробити це вручну, якщо ви знаходитесь за пару кроків від ключа. wotsap - це пакет, який допоможе вам відкрити шляхи від вашого ключа до ключів людей, які безпосередньо підписали ключ архіву.

Це все залежить від того, що у вас є ключ gpg та участь у налаштуваннях клавіш gpg, що абсолютно важливо, якщо ви хочете реально зробити це правильно.