パッケージストアの公開GPGキーを提供するURLをどのように見つけますか?

tag-icon tag-icon debian apt apt-key
パッケージストアの公開GPGキーを提供するURLをどのように見つけますか?

Debian Jessie Dockerイメージをインストール[email protected]して使用するとき[email protected]

apt-get install -y software-properties-common && \
add-apt-repository 'deb http://archive.ubuntu.com/ubuntu trusty universe' && \
apt-get install -y mysql-server-5.6 mysql-client-5.6

次の警告が表示されます。

W:GPGエラー:http://archive.ubuntu.com信頼できるバージョン:公開鍵が利用できないため、次の署名を確認できません。 NO_PUBKEY 40976EAF437D05B5 NO_PUBKEY 3B4FE6ACC0B21F32

キーを手動で追加するかどうかわからない

  apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 40976EAF437D05B5 && \
  apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 3B4FE6ACC0B21F32

安定したソリューションです。リポジトリが更新されるとGPGキーが変更されることがあるという内容をどこかで読みました(間違っている場合は訂正してください)。次のようにパッケージストアURLからGPGキーをインストールすることもできます。

curl -sL http://dl.yarnpkg.com/debian/pubkey.gpg | apt-key add -

だから、次のようなサブ質問があります。

  1. キーを必要とするすべてのパッケージリポジトリに公開GPGキーを提供するURLはありますか?
  2. そのようなURLの形式はありますか?

答え1

debianのubuntuリポジトリからパッケージをインストールしようとしていますが、Debianにubuntuキーがありません。新しいリポジトリを追加するには、パッケージを認証するために信頼できるgpgキーが必要です。

リポジトリの3番目の部分にのみ新しいgpgキーが必要な場合、またはキーが変更された場合にのみ必要です。

add-apt-repository新しいリポジトリが追加され、gpgキーが追加されます。

man add-apt-repository:

  In  the second form, ppa:<user>/<ppa-name> will be expanded to the full
   deb  line  of  the  PPA  and   added   into   a   new   file   in   the
   /etc/apt/sources.list.d/  directory.   The  GPG public key of the newly
   added PPA will also be downloaded and added to apt's keyring.

Debian jessieでは、Ubuntuリポジトリを追加する必要はなく、セキュアリポジトリから利用できます。

信頼できるストレージを削除し、次の行を追加します/etc/apt/sources.list

deb http://security.debian.org/debian-security jessie/updates main

次に、次を実行します。

sudo apt update
sudo apt install mysql-server-5.5

Debian: セキュリティに最適

答え2

この場合、安定した答えが得られます。 「公式」文書に引用されています(https://help.ubuntu.com/community/VerifyIsoHowto#Get_the_key)

あなたの場合は、「信頼できる」(あなたが)キーサーバーを参照し、keyserver.ubuntu.com特定のID(40976EAF437D05B53B4FE6ACC0B21F32)でキーを要求しています。この方法でキーを検索すると、Ubuntu Infrastructure管理者はユーザーの介入なしに更新を処理できます。鍵IDを使用すると、実際には鍵自体の暗号化ハッシュを参照します。

ただ可能私が改善するのは、「フル」キーIDを使用することです。これにより、より正確な検索が可能で、より堅牢な攻撃者が必要です。

上記のgpgバージョンのコマンドは、同じキーを追加するために使用されます。あなたの ユーザー認証に使用できるキーリングです。このapt-keyコマンドはキーを追加します。簡単キーチェーンシステム確認にはキーを使用できます。

サブ質問について:

キーを必要とするすべてのパッケージリポジトリに公開GPGキーを提供するURLはありますか?そしてそのようなURLの形式はありますか?

いいえ。すべてのリポジトリ(deb/apt、rpm/yum/dnf)が特定の「よく知られた」URLを介してキーを公開するわけではありません。そのパッケージ管理システムには多くの主要な検索メカニズムが組み込まれているため、ツールによって異なります。 RPMベースのシステムでは、YumとDNFは、管理者が簡単に使用できるようにリポジトリ定義にメタデータを指定することに注意することが重要です。ただし、これは使用の要件ではなく、URIパスは標準化されていません。

ただし、これを行うプロセスは将来承認される可能性があります。RFC 5785そしてRFC 8615今は「仕事」ですが、今後は改善します。

関連情報