Я унаследовал сервер Ubuntu 18.04, к которому в прошлом были добавлены несколько пользовательских репозиториев и ключей. Я хотел бы убедиться, что все ключи все еще используются, и посмотреть, какие пакеты проверяет каждый из них. Есть ли способ сделать это?
Я могу перечислить все ключи, используя apt-key list и глядя в /etc/apt/trusted.gpg[.d], но как я могу сравнить их с репозиториями и пакетами?
Проверка осуществляется путем подписания сумм MD5 пакетов, перечисленных в Release файл источника APT. Загрузите Release.gpg из каждого источника и проверьте, какие ключи используются для их подписания. Таким образом вы получите список пакетов, подписанных ключом, а не наоборот.
Например. deb http://us.archive.ubuntu.com/ubuntu/ bionic main restricted
Release файл подписан Release.gpggpg -vv Release.gpg дает keyid 3B4FE6ACC0B21F32Сравните идентификатор ключа с теми, что на вашем apt-key list:
/etc/apt/trusted.gpg.d/ubuntu-keyring-2012-archive.gpg
------------------------------------------------------
pub rsa4096 2012-05-11 [SC]
790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
uid [ unknown] Ubuntu Archive Automatic Signing Key (2012) <ftpmaster@ubuntu.com>