Debian的。如何安全地获取debian-archive-keyring,以便我可以进行apt-get更新? NO_PUBKEY

Modified on: Wed, 21 Aug 2019 08:20:03 +0800

我有一个尝试的尝试:

   # apt-get update
   [... good lines omitted]
   W: GPG error: http://backports.debian.org lenny-backports Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://http.us.debian.org stable Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA
   W: GPG error: http://ftp.us.debian.org lenny Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY AED4B06F473041FA

http://wiki.debian.org/SecureApt#Other_problems上注意到NO_PUBKEY问题“意味着存档已经开始由一个新密钥签署,系统不知道...并且一旦系统被提供新密钥(通过升级debian-archive-keyring包),警告就会出现离开“

好的,但反过来说:

   apt-get install debian-archive-keyring 

给了我:

   WARNING: The following packages cannot be authenticated!
       debian-archive-keyring

,解决方法是进行apt-get update

桶里有一个洞,亲爱的'liza。

有人可以为我打破这个循环吗?

-

注意:我的/etc/apt/sources.list是:

    deb http://ftp.us.debian.org/debian/ lenny main contrib non-free
    deb http://http.us.debian.org/debian stable main contrib non-free
    deb http://security.debian.org lenny/updates main contrib non-free
    deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free

最佳答案

  

有人可以为我打破这个循环吗?

您基本上只是遇到引导问题 “http://en.wikipedia.org/wiki/Public_key_cryptography”rel =“noreferrer”>公钥加密。

您可以在许多地方下载各种存档的公钥,但通常不会通过HTTPS提供这些公钥,并且任何校验和文件都是从同一位置传送的。

您提供的wiki链接指向https://ftp-master.debian.org/ keys.html,它提供了可以通过SSL下载的密钥副本。问题当然是ftp-master.debian.org的证书是由ca.debian.org签署的,该证书不是与最常见的Web浏览器一起发布的。

您基本上只需找到一种方法来获取debian-archive-keyring的副本,或者您信任的系统中的当前密钥,并将其安装到您的系统上。如果你真的是偏执狂,你可能需要获取存档的副本,并让其他人从不同网络上的另一台计算机上的另一个镜像中获取副本。然后比较校验和。

如果你不是非常偏执,或者在高安全性环境中,那么只需让apt-get install debian-archive-keyring安装,然后忽略警告。

在你和一些随机的http.us.debian.org镜像之间建立MITM需要花费很多精力。一旦他们这样做,他们将不得不建立他们自己的自定义debian-archive-keyring包,除了标准密钥之外还包括他们的邪恶密钥。然后他们将不得不重建一些包来强迫你在你的系统上安装一些邪恶的东西。所涉及的努力不会是微不足道的。

Debian通常可以很好地添加将来用于将软件包签名到debian-archive-keyring包的密钥。这是一个包,你真的想要保持最新。这样,您将在用于签名之前键入已安装的密钥,并且将来不会出现此问题。

作者:,Zoredache

相关问答

添加新评论