Debian。apt-get-updateを実行できるように、debian-archive-keyringを安全に取得するにはどうすればよいですか?NO_PUBKEY

16

私は22をキャッチしようとしています:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

http://wiki.debian.org/SecureApt#Other_problemsそれはアーカイブシステムが知らない新しいキーで署名され始めている...と、システムが供給されるとNO_PUBKEYの問題」手段を指摘します新しいキー(debian-archive-keyringパッケージをアップグレードすることにより)、警告は消えます」

OK、しかし逆に: 

   apt-get install debian-archive-keyring

私に与えます:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

そのための解決策は、apt-get更新を行うことです

バケツに穴があります、親愛なるリザ。

誰かが私のためにサイクルを破ることができますか?

-

注:私の/etc/apt/sources.listは次のとおりです。

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
debian  apt  public-key 
デビッド・ブロック
ソース
1
あなたはレニーに固執したい場合は、交換する必要があるstablelennyhttp.us.debian.org。あなたの現在のsources.listはおそらくシステムが壊れてしまうでしょう。squeezeにアップグレードする場合は、すべてのstable/lenny参照を置き換えて、を使用する必要がありますsqueeze
ゾレダケ

回答:

13

誰かが私のためにサイクルを破ることができますか?

あなたは基本的に公開鍵暗号の標準ブートストラップ問題を経験しているだけです。

さまざまなアーカイブの公開鍵をダウンロードできる場所はたくさんありますが、多くの場合、それらはHTTPS経由では提供されず、チェックサムファイルは同じ場所から配信されます。

あなたが提供したwikiリンクはhttps://ftp-master.debian.org/keys.htmlへのリンクを提供しますこれはSSL経由でダウンロードできるキーのコピーを提供します。もちろん問題は、ftp-master.debian.orgの証明書がca.debian.orgによって署名されていることです。ca.debian.orgは、最も一般的なWebブラウザーでは配布されていません。

基本的には、debian-archive-keyringのコピー、または信頼できるシステムから現在のキーを取得し、それをシステムにインストールする方法を見つける必要があります。本当に妄想的な場合は、アーカイブのコピーを取得し、別のネットワーク上の別のコンピューターの別のミラーから別の誰かにコピーを取得してもらう必要があります。次に、チェックサムを比較します。

極端に妄想的でない場合、または高度なセキュリティ環境にいる場合は、apt-get install debian-archive-keyringインストールして警告を無視してください。

誰かがあなたといくつかのランダムなhttp.us.debian.orgミラーとの間にMITMをセットアップするには、多くの労力が必要です。それを行うと、標準キーに加えて邪悪なキーを含む独自のカスタムdebian-archive-keyringパッケージを構築する必要があります。その後、システムに何らかの悪をインストールするように強制するために、いくつかのパッケージを再構築する必要があります。関連する努力は簡単ではありません。

Debianは通常、将来パッケージをdebian-archive-keyringパッケージに署名するために使用されるキーを追加するのにかなり良い仕事をします。これは、最新の状態を維持したいパッケージの1つです。そうすれば、署名に使用する前にインストールされたキーをキー設定し、将来この問題が発生することはありません。

ゾレダチェ
ソース
ええ、ChromeはSSL証明書の署名者が信頼されていないという理由で大きな脂肪アラートをくれました。はぁ。
デビッドブロック
1
PS.FYI。現在のsqueeze署名キーの指紋はで0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9あり、lennyは7F5A 4445 4C72 4A65 CBCD 4FB1 4D27 0D06 F425 84E6です。
ゾレダケ
さて、私の仮想の敵は影響力があるので、ftp-master.debian.orgのSSL証明書が、私のブラウザーがすぐに信頼できる侵害されたCAのいずれかによって署名されていないことは大したことではありません。そこで、Moxie MarlinspikeのFirefox用Convergenceプラグインを入手しました。少なくとも私はそうしたと思う-彼は私がインストールしたアドオンに署名するのに苦労せず、私がそれをインストールしたときにFirefoxをクラッシュさせた。デフォルトの公証サーバーが信頼できるかどうかはわかりませんが、主要なWebサイトが私が見ているものと同じであることに同意しているようです。しかし、おそらく私の敵はすでにDebianを侵害しています。だから、私はそれで行きます。
デビッドブロック
指紋をありがとう。どういうわけか、正しいか間違って、私は見知らぬ人を助けるために彼らの時間をあきらめる誰かを信頼しています。
デビッドブロック
1
アーカイブから取得したくない場合は、mit pgpキーデータベースから取得できます。 http://pgp.mit.edu:11371/pks/lookup?search=Wheezy+Stable+Release+Key&op=index
ゾレダチェ
10

問題は、debian-keyringもインストールしなかったことです。以下を実行するだけです:

apt-get install debian-keyring
apt-get install debian-archive-keyring

それでおしまい。

消防士
ソース
この作業を確認できます
-aexl
debian-keyringパッケージのインストールとは関係ありません
x-yuri
5

Debian-Apt-get:NO_PUBKEY / GPGエラー

Linuxカーネルを使用するDebianオペレーティングシステムに基づくコンピューターでは、エラーメッセージが「NO_PUBKEY」のように表示される場合があります。これは、Apt-Getコマンドラインツールの使用中に発生し、このエラーはツールの更新機能に関連しています。Apt-Getパッケージ管理ツールの新機能は、Debian OSを更新する前にサーバーの信頼性を保証します。これがエラー「NO_PUBKEY」がポップアップする理由です。この問題は、適切なコマンドを入力することで解決できます。

エラーメッセージに表示されたキーの番号に以下の番号を置き換えるように注意して、次のコマンドを入力します。

gpg --keyserver pgpkeys.mit.edu --recv-key  AED4B06F473041FA      
gpg -a --export AED4B06F473041FA | sudo apt-key add -
チャミンダバンダラ
ソース
私は上記のソリューションを実験しましたが、これは私にとってはうまくいきました。問題を解決しました。
チャミンダバンダラ
4

2つのこと:

  1. sources.listファイルが間違っている可能性があります。これらのレポジトリに適切な行であると確信していますか?

  2. これらのリポジトリでRelease.gpgファイルを手動で見つけて、キーリングを更新する必要があります。

wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -

レニーと安定レポを混ぜて火遊びをするかもしれません

薄い氷
ソース
#1についてはわかりません。spinifex.com.au/plugs/dphowtos.html#debianの指示に従っていましたが、「deb backports.org/debian lenny-backports main contrib non-free」という行にダウンロードエラーがあったため、盲目的にbackports-master.debianをたどっていました.org / Instructions「deb backports.debian.org/debian-backports squeeze-backports main」に変更しました。今、私は「deb backports.debian.org/debian-backports lenny-backports main contrib non-free」として持っています...それは良いですか?(私は火遊びが嫌いです)。引き続き「NO_PUBKEY」thoを取得しますので、#2も同様です。
デビッドブロック
1

正しいことは、キーをマシンに安全に取得することを心配せずに、マシンにキーを置いたら、キーへの信頼パスを正確にチェックできるようにすることです。これは、gpgキーが誰かのキーに署名するために使用された署名のチェーンを検索することを意味します...その結果、アーカイブキーに署名した誰かを見つけることができます。

キーから数歩以上離れている場合、これを手作業で行おうとすると、これは明らかに退屈です。wotsapは、キーからアーカイブキーに直接署名した人のキーへのパスを見つけるのに役立つパッケージです。

これはすべて、gpgキーを持ち、gpgキー署​​名に参加していることを前提としています。これは、本当にこれを正しく実行するために不可欠です。

シチュー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.