Debian. Jak mogę bezpiecznie uzyskać pakiet kluczy archiwum debian, aby móc wykonać aktualizację apt-get? NO_PUBKEY

16

Mam haczyk 22 próbujący:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

Na stronie http://wiki.debian.org/SecureApt#Other_problems odnotowano problem NO_PUBKEY ”oznacza, że ​​archiwum zaczęło być podpisywane nowym kluczem, o którym twój system nie wie ... a kiedy system zostanie zasilony, nowy klucz (poprzez aktualizację pakietu debian-archive-keyring) ostrzeżenie zniknie ”

OK, ale przewrotnie:

   apt-get install debian-archive-keyring 

daje mi:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

i rozwiązaniem tego jest aktualizacja apt-get

W wiadrze jest dziura, droga Liza.

Czy ktoś może przerwać dla mnie cykl?

-

Uwaga: mój /etc/apt/sources.list to:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
David Bullock
źródło
1
Jeśli chcesz, aby trzymać się z Lennym, to należy wymienić stablez lennyna http.us.debian.org. Twoja obecna lista sources.list prawdopodobnie spowoduje uszkodzenie systemu. Jeśli chcesz uaktualnić do squeeze, powinieneś zastąpić wszystkie stable/lennyreferencje i użyć squeeze.
Zoredache,

Odpowiedzi:

13

Czy ktoś może przerwać dla mnie cykl?

Zasadniczo masz do czynienia ze standardowym problemem ładowania początkowego w przypadku kryptografii klucza publicznego .

Istnieje wiele miejsc, w których można pobrać klucze publiczne dla różnych archiwów, ale często nie są one udostępniane przez HTTPS, a wszelkie pliki sum kontrolnych są dostarczane z tej samej lokalizacji.

Ten link wiki, który podałeś, prowadzi do https://ftp-master.debian.org/keys.html, który zawiera kopię kluczy, które możesz pobrać przez SSL. Problem polega oczywiście na tym, że certyfikat ftp-master.debian.org jest podpisany przez ca.debian.org, który nie jest dystrybuowany z najpopularniejszymi przeglądarkami internetowymi.

Zasadniczo musisz po prostu znaleźć sposób na uzyskanie kopii pliku debian-archive-keyring lub bieżącego klucza z zaufanego systemu i zainstalowanie go w systemie. Jeśli jesteś naprawdę paranoikiem, być może będziesz musiał pobrać kopię archiwum i poprosić kogoś innego o pobranie kopii z innego serwera lustrzanego na innym komputerze za pośrednictwem innej sieci. Następnie porównaj sumy kontrolne.

Jeśli nie jesteś wyjątkowo paranoikiem lub w środowisku o wysokim poziomie bezpieczeństwa, po prostu pozwól apt-get install debian-archive-keyringzainstalować i zignoruj ​​ostrzeżenie.

Ustawienie MITM między tobą a jakimś losowym serwerem lustrzanym http.us.debian.org wymagałoby wiele wysiłku. Gdy to zrobią, będą musieli zbudować własny pakiet debian-archiwum-kluczy, w tym swój zły klucz oprócz standardowych kluczy. Następnie musieliby odbudować niektóre pakiety, aby zmusić cię do zainstalowania czegoś złego w twoim systemie. Wysiłek nie byłby trywialny.

Debian ogólnie robi całkiem niezłą robotę, dodając klucze, które będą używane do podpisywania pakietów w przyszłości do pakietu debian-archive-keyring. To jest jeden pakiet, który naprawdę chcesz być na bieżąco. W ten sposób klucze zostaną zainstalowane przed użyciem ich do podpisywania rzeczy i nie będziesz mieć tego problemu w przyszłości.

Zoredache
źródło
Tak, Chrome dał mi gruby alert z powodu braku zaufania osoby podpisującej certyfikat SSL. Westchnienie.
David Bullock,
1
PS.FYI. Obecny odcisk palca, który mam dla klucza do podpisywania ucisków to 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9i Lenny jest 7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6.
Zoredache,
Cóż, moi hipotetyczni wrogowie mają wpływ, więc nic dziwnego, że certyfikat SSL dla ftp-master.debian.org nie jest podpisany przez jeden z zagrożonych urzędów certyfikacji, któremu moja przeglądarka ufa po wyjęciu z pudełka. Mam więc wtyczkę Convergence Moxie Marlinspike dla Firefoksa. Przynajmniej tak mi się zdawało - nie zadał sobie trudu, aby podpisać zainstalowany dodatek, który zawiesił Firefoksa, gdy go zainstalowałem. Nie mam pojęcia, czy domyślne serwery notarialne są niezawodne, ale wydaje się, że zgadzają się, że kluczowa strona internetowa jest taka sama, na którą patrzę. Ale prawdopodobnie moi wrogowie już skompromitowali Debiana. Więc do diabła, idę z tym.
David Bullock,
Dzięki za odcisk palca. Jakoś słusznie lub niesłusznie ufam komuś, kto poświęca czas na pomoc nieznajomemu.
David Bullock,
1
Możesz je pobrać z bazy danych kluczy mit pgp, jeśli nie lubisz ściągać ich z archiwów. http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
Zoredache
10

Twój problem polega na tym, że nie zainstalowałeś również kluczy do debiana. Po prostu uruchom następujące polecenie:

apt-get install debian-keyring
apt-get install debian-archive-keyring

Otóż ​​to.

strażak
źródło
Mogę potwierdzić to działa
aexl
debian-keyringnie ma nic wspólnego z instalowaniem pakietów.
x-yuri
5

Debian - Apt-get: Błąd NO_PUBKEY / GPG

Na komputerach opartych na systemie operacyjnym Debian, który korzysta z jądra Linux, mogą pojawić się komunikaty o błędach, takie jak „NO_PUBKEY”. Dzieje się tak podczas korzystania z narzędzia wiersza polecenia Apt-Get, a błąd ten jest związany z funkcją aktualizacji tego narzędzia. Nowa funkcja narzędzia do zarządzania pakietami Apt-Get gwarantuje autentyczność serwera przed aktualizacją systemu operacyjnego Debian. Dlatego pojawia się błąd „NO_PUBKEY”. Ten problem można rozwiązać, wpisując odpowiednie polecenia.

Wystarczy wpisać następujące polecenia, zwracając uwagę na zastąpienie poniższej liczby numerem klawisza wyświetlanego w komunikacie o błędzie:

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Chaminda Bandara
źródło
Eksperymentowałem powyżej rozwiązania i to zadziałało dla mnie. Rozwiązany problem
Chaminda Bandara,
4

Dwie rzeczy:

  1. Twój plik sources.list może być niepoprawny; czy jesteś pewien, że są to odpowiednie linie dla tych repozytoriów?

  2. Musisz ręcznie zlokalizować pliki Release.gpg na tych repozytoriach i zaktualizować brelok:

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

Możesz bawić się ogniem mieszając Lenny ze stabilnym repo

cienki lód
źródło
Nie jestem pewien co do nr 1. Postępowałem zgodnie z instrukcjami na spinifex.com.au/plugs/dphowtos.html#debian, ale wiersz „deb backports.org/debian lenny-backports main contrib non-free” dawał błędy pobierania, więc ślepo podążałem za backports-master.debian .org / Instrukcje Zmieniłem go na „deb backports.debian.org/debian-backports squeeze-backports main”. Teraz mam to jako „deb backports.debian.org/debian-backports główny wkład lenny-backports non-free” ... czy to jest lepsze? (Nienawidzę bawić się ogniem). Nadal dostajesz „NO_PUBKEY”, więc zrobisz swoje # 2.
David Bullock,
1
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
wysypka
źródło
1

Właściwe jest, aby nie martwić się o bezpieczne dostarczenie klucza do komputera, ale być w stanie dokładnie sprawdzić ścieżkę zaufania do klucza, gdy już go masz na komputerze. Oznacza to, że chcesz znaleźć ciąg sygnatur, w których klucz gpg został użyty do podpisania czyjegoś klucza, który został użyty do podpisania czyjegoś klucza ... abyś w końcu znalazł osobę, która podpisała klucz archiwum.

Byłoby to oczywiście uciążliwe, gdybyś spróbował to zrobić ręcznie, jeśli dzieli Cię więcej niż kilka kroków od klucza. wotsap to pakiet, który pomoże ci odkryć ścieżki od klucza do kluczy osób, które bezpośrednio podpisały klucz archiwum.

Wszystko zależy od tego, czy masz klucz gpg i uczestniczysz w znakowaniu gpg, co jest absolutnie niezbędne, jeśli naprawdę chcesz to zrobić poprawnie.

gulasz
źródło