У меня есть уловка 22:
# apt-get update
[... good lines omitted]
W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
В http://wiki.debian.org/SecureApt#Other_problems он отмечает проблему NO_PUBKEY "означает, что архив начал подписываться новым ключом, о котором ваша система не знает ... и как только система получит новый ключ (путем обновления пакета debian-archive-keyring), предупреждение исчезнет "
Хорошо, но наоборот:
apt-get install debian-archive-keyring
дает мне:
WARNING: The following packages cannot be authenticated!
debian-archive-keyring
и решение для этого - сделать apt-get update
В ведре дыра, дорогая Лиза.
Может ли кто-нибудь разорвать цикл за меня?
-
Примечание: мой /etc/apt/sources.list:
deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
deb http://http.us.debian.org/debian stable main contrib non-free
deb http://security.debian.org lenny/updates main contrib non-free
deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
Может ли кто-нибудь разорвать цикл за меня?
Вы в основном просто испытываете стандартные проблема начальной загрузки для криптография с открытым ключом.
Есть много мест, где вы можете скачать открытые ключи для различных архивов, но часто они не предоставляются через HTTPS, и любые файлы контрольной суммы доставляются из того же места.
Эта вики-ссылка, на которую вы указали, ведет https://ftp-master.debian.org/keys.html который предоставляет копии ключей, которые вы можете загрузить через SSL. Проблема, конечно, в том, что сертификат для ftp-master.debian.org подписан сайтом ca.debian.org, который не распространяется с наиболее распространенными веб-браузерами.
Вам просто нужно найти способ получить копию debian-archive-keyring или текущий ключ из системы, которой вы доверяете, и установить ее в свою систему. Если вы действительно параноик, возможно, вам придется захватить копию архива, а кто-то другой получит копию с другого зеркала на другом компьютере в другой сети. Затем сравните контрольные суммы.
Если вы не слишком параноик или находитесь в среде с высоким уровнем безопасности, просто позвольте apt-get install debian-archive-keyring установить и игнорировать предупреждение.
Чтобы установить MITM между вами и каким-то случайным зеркалом http.us.debian.org, потребовалось бы много усилий. Как только они это сделают, им придется создать свой собственный пакет debian-archive-keyring, включающий их злой ключ в дополнение к стандартным ключам. Затем им пришлось бы пересобрать некоторые пакеты, чтобы заставить вас установить что-то злое в вашу систему. Затраченные усилия были бы нетривиальными.
Debian обычно неплохо справляется с добавлением ключей, которые будут использоваться для подписи пакетов в будущем, в пакет debian-archive-keyring. Это один из пакетов, который вы действительно хотите постоянно обновлять. Таким образом, вы будете вводить ключи, установленные до того, как они будут использоваться для подписи, и у вас не будет этой проблемы в будущем.
Ваша проблема в том, что вы также не установили debian-keyring. Просто запустите следующее:
apt-get install debian-keyring
apt-get install debian-archive-keyring
Вот и все.
Debian - Apt-get: NO_PUBKEY / ошибка GPG
На компьютерах на базе операционной системы Debian, использующей ядро Linux, могут появляться сообщения об ошибках типа NO_PUBKEY. Это происходит при использовании инструмента командной строки Apt-Get, и эта ошибка связана с функцией обновления инструмента. Новая функция в инструменте управления пакетами Apt-Get гарантирует подлинность сервера перед обновлением ОС Debian. Вот почему выскакивает ошибка NO_PUBKEY. Эту проблему можно решить, введя соответствующие команды.
Просто введите следующие команды, заменив приведенный ниже номер на номер ключа, который был отображен в сообщении об ошибке:
gpg --keyserver pgpkeys.mit.edu --recv-key AED4B06F473041FA
gpg -a --export AED4B06F473041FA | sudo apt-key add -
Две вещи:
Ваш файл sources.list может быть неправильным; Вы уверены, что это правильные строки для этих репозиториев?
Вам придется вручную найти файлы Release.gpg в этих репозиториях и обновить связку ключей:
wget -q http://backports.debian.org/debian-backports/dists/squeeze-backports/Release.gpg -O -|apt-key add -
Возможно, вы играете с огнем, смешивая lenny со стабильным репо
apt-key adv --keyserver subkeys.pgp.net --recv-keys YOUR_KEY
Правильный поступок - не беспокоиться о безопасном получении ключа от вашей машины, а иметь возможность точно проверить свой доверительный путь к ключу, когда он будет у вас на машине. Это означает, что вы хотите найти цепочку подписей, в которой ваш ключ gpg использовался для подписи чьего-либо ключа, который использовался для подписи чьего-то ключа ... чтобы вы в конечном итоге нашли того, кто подписал ключ архива.
Это, очевидно, было бы утомительно, если бы вы попытались сделать это вручную, если вы находитесь более чем в паре шагов от ключа. wotsap - это пакет, который поможет вам обнаружить пути от вашего ключа до ключей людей, которые непосредственно подписали ключ архива.
Все это основано на том, что у вас есть ключ gpg и вы участвуете в подписи ключей gpg, что абсолютно необходимо, если вы действительно хотите сделать это правильно.