web-dev-qa-db-ja.com

Debian。 apt-get更新を実行できるように、debian-archive-keyringを安全に取得するにはどうすればよいですか? NO_PUBKEY

私は22をキャッチしようとしています:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

http://wiki.debian.org/SecureApt#Other_problems には、NO_PUBKEYの問題が記録されています。これは、アーカイブが新しい​​キーで署名され始めたことを意味します。 (debian-archive-keyringパッケージをアップグレードすることにより)システムに新しいキーが渡されると、警告は消えます "

OK、しかし逆に:

   apt-get install debian-archive-keyring 

私に与える:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

そのための解決策は、apt-get updateを実行することです

バケツに穴があります、親愛なるリザ。

誰かが私のためにサイクルを破ることができますか?

-

注:私の/etc/apt/sources.listは:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
16
David Bullock

誰かが私のためにサイクルを破ることができますか?

基本的に、標準的な ブートストラップの問題公開鍵暗号 が発生しているだけです。

さまざまなアーカイブの公開鍵をダウンロードできる場所はたくさんありますが、HTTPS経由では提供されないことが多く、チェックサムファイルは同じ場所から配信されます。

あなたが提供したwikiリンクは、SSL経由でダウンロードできるキーのコピーを提供する https://ftp-master.debian.org/keys.html へのリンクをオフにしています。もちろん問題は、ftp-master.debian.orgの証明書がca.debian.orgによって署名されていることです。ca.debian.orgは、最も一般的なWebブラウザーでは配布されていません。

基本的には、debian-archive-keyringのコピー、または信頼できるシステムから現在のキーを取得し、それをシステムにインストールする方法を見つける必要があります。本当に偏執的である場合は、アーカイブのコピーを入手し、別の誰かが別のネットワーク上の別のコンピューター上の別のミラーからコピーを入手する必要があるかもしれません。次に、チェックサムを比較します。

極端な偏執狂ではない場合、または高度なセキュリティ環境にある場合は、apt-get install debian-archive-keyringインストールして、警告を無視します。

あなたといくつかのランダムなhttp.us.debian.orgミラーとの間にMITMを設定するには、誰かが多くの努力を払う必要があります。いったんそれをしたら、彼らは標準の鍵に加えて自分の邪悪な鍵を含む独自のカスタムdebian-archive-keyringパッケージを構築しなければなりません。次に、システムに悪質なものをインストールするように強制するために、パッケージを再ビルドする必要があります。関与する努力は簡単ではありません。

Debianは一般に、将来のパッケージの署名に使用されるキーをdebian-archive-keyringパッケージに追加するかなり良い仕事をします。それはあなたが本当に最新に保ちたい1つのパッケージです。そうすることで、署名に使用する前にインストールされたキーにキーを付けることができ、今後この問題は発生しなくなります。

13
Zoredache

あなたの問題は、debian-keyringもインストールしなかったことです。以下を実行するだけです:

apt-get install debian-keyring
apt-get install debian-archive-keyring

それでおしまい。

12
fireboy

Debian-Apt-get:NO_PUBKEY/GPGエラー

Linuxカーネルを使用するDebianオペレーティングシステムに基づくコンピューターでは、「NO_PUBKEY」のようなエラーメッセージが表示される場合があります。これは、Apt-Getコマンドラインツールを使用しているときに発生し、このエラーはツールの更新機能に関連しています。 Apt-Getパッケージ管理ツールの新機能は、Debian OSを更新する前にサーバーの信頼性を保証します。そのため、エラー「NO_PUBKEY」がポップアップします。この問題は、適切なコマンドを入力することで解決できます。

次のコマンドを入力するだけです。以下の番号を、エラーメッセージに表示されたキーの番号に置き換えてください。

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | Sudo apt-key add -
5

2つのこと:

  1. Sources.listファイルが正しくない可能性があります。それらがそれらのレポに適切な行であると確信していますか?

  2. これらのリポジトリでRelease.gpgファイルを手動で見つけ、キーリングを更新する必要があります。

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

レニーと安定したレポを混ぜて火遊びをしているかもしれません

4
thinice
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
1
rush

正しいことは、マシンへのキーを安全に取得することについて心配するのではなく、キーがマシンにあれば、キーへの信頼パスを正確にチェックできることです。これは、gpgキーが誰かのキーの署名に使用された署名に使用された一連の署名を検索したいことを意味します。これにより、最終的にアーカイブキーに署名した誰かを見つけることができます。

キーから数歩以上離れている場合、手動でこれを実行しようとすると、これは明らかに退屈です。 wotsapは、あなたの鍵から、アーカイブ鍵に直接署名した人々の鍵へのパスを発見するのに役立つパッケージです。

これはすべて、あなたがgpgキーを持ち、gpgキー署​​名に参加していることを前提としています。これは、本当にこれを正しく行いたい場合には絶対に不可欠です。

1
stew