Ubuntu kulcskezelés (apt-key) változás / apt-key deprecated

Az Ubuntu 22.04 verziótól, így a 21-es Mint alatt is elavulttá lett nyilvánítva a hagyományos kulcskezelés, ami az apt parancsot érinti. Ez az alternatív PPA kezelést érinti, amennyiben azok nem tértek át az új megbízható kulcskezelésre.

Tudnivaló, hogy a szoftverforrásokat megbízhatósági aláírással kezeli a Linux, ezt pedig egy hitelesítő kulcs segítségével valósítja meg.

Ha olyan szoftvert akarunk telepíteni Ubuntu alapú Linuxra, amely nem található meg a hivatalos tárolóban, akkor ennek az eszköznek a PPA tárházát vagy binárisát (úgy mint DEB csomag, vagy forrás fordítás) kell használnunk. A tárház (repository) módszer azonban előnyösebb a jövőbeli frissítések miatt. Harmadik féltől származó tárhely hozzáadásához hozzá kell adnunk egy új GPG / nyilvános kulcsot is, amelyet a telepíteni kívánt csomagok fejlesztői adtak ki. Ezzel ellenőrzi a rendszer, hogy a kapott csomagok megegyeznek-e a fejlesztői által közzétett csomagokkal. Ellenkező esetben a rendszernek nem lenne bizalmi kapcsolata – a nem megbízható forrásból származó csomagok telepítése elutasításra kerülne.

Korábban a nyilvános kulcsot általában le kellett tölteni és közvetlenül az apt-key add-al kellett hozzáadni a rendszerhez, ezt vagy manuálisan nekünk, vagy akár a tárház automatikájával lehetett megoldani. Ez az Ubuntu 20.04-ig (Mint 20.x) így volt. Az Ubuntu későbbi verzióiban, például a 22.04 LTS-ben azonban ez a módszer elavulttá lett nyilvánítva.

Ez ugyan jelenleg csak azt jelenti, hogy a Debian 11-ben vagy az Ubuntu 22.04-ben a régi módszerrel hozzáadott kulcsok elavultként vannak megjelölve, de még működik a telepítés, viszont figyelmeztető hibaüzenetek jelentkeznek telepítéskor. Várhatóan ezeknek az operációs rendszereknek a következő nagyobb verzióiban ezt lehetőséget eltávolítják.

Az apt-key elavult oka a kulcsok kezelésének módja. Korábban az apt-key paranccsal új, harmadik féltől származó kulcsot adtunk hozzá az etc/apt/trusted.gpg nevű fájlhoz, amely az alapértelmezett rendszertár kulcsait is tartalmazza. Ez biztonsági kérdéseket vet fel. A mélyebb részletekbe nem belemélyülve, elképzelhető keresztbe hitelesítés metódus, amit akár ki is lehet használni rosszindulatú kód telepítésére.

Mit jelent ez jelen esetben? Azt, hogy a PPA fenntartóknak lépni kell, át kell térni az újabb metódusra. Mi van akkor, ha mégsem teszik? Ez esetben nekünk helyileg kell gondoskodni a kulcs helyes kezeléséért, ami nem mindig könnyű. Azaz, be kell szerezni a hitelesítő kulcsot, ami nem mindig egyszerű. Ugyanis a kulcsok telepítésére van szerver oldali megoldás is, amikor is elegendő csak felvenni a rendszerebe a tároló linkjét, ami során a kulcs le sem töltődik, hanem röptében beleinjektálódik az etc/apt/trusted.gpg fájlba.

Példa:

Próbáljuk meg telepíteni a Strawberry zenelejátszót (ez a Clemetine továbbfejlesztése, aminek a fejlesztése 2016 óta abbamaradt, de ugyanakkor a Mint tárolóból ez még letölthető, a Strawberry azonban nem került be az Ubuntu tárolókba sem.

https://www.strawberrymusicplayer.org/

A honlapon az Ubuntu változat telepítésének a leírása szerint indítsuk a telepítést:

sudo add-apt-repository ppa:jonaski/strawberry

A következő PPA csomagtárolót készül hozzáadni a rendszerhez:
Strawberry Music Player

További információk: https://launchpad.net/~jonaski/+archive/ubuntu/strawberry
A folytatáshoz nyomja meg az Enter billentyűt, vagy a megszakításhoz a Ctrl-C billentyűkombinációt

Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
Executing: /tmp/apt-key-gpghome.ogK9H7kdcQ/gpg.1.sh --keyserver hkps://keyserver.ubuntu.com:443 --recv-keys BE5ED0F9261CAAD9A1E5B1A4CD6289E999EA819D
gpg: CD6289E999EA819D kulcs: „Launchpad PPA for Jonas Kvinge” nyilvános kulcs importálva
gpg: Összesen feldolgoztam: 1
gpg: importálva: 1

Mint az látható a fentiekből, a hitelesítő kulcs automatikusan importálva lett, ugyanakkor a rendszer jelezte is, hogy az apt-key elavult.

sudo apt update
....
Minden csomag naprakész.

W: http://ppa.launchpad.net/jonaski/strawberry/ubuntu/dists/jammy/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.

Újabb figyelmeztetés…

sudo apt install strawberry

a parancs lefut, települ a program függőségeivel együtt. 

Megtehetjük, hogy együtt élünk a figyelmeztetéssel, vagy elejét vesszük a dolognak, és átrendezzük a kulcsot olyan módon, ahogy az elvárt. Alábbi módszer sajnos ebben az esetben nem járható, mert:

  • - Nincs letölthető kulcs a fenti PPA-hoz.
  • - A Lauchpad jelenleg pont nem támogatja a ECC vagy Ed25519 kódolású OpenPGP-t ami szükséges lenne az alábbi művelethez.

Ezért az alább leírtak olyan esetre vonatkoznak, ahol letölthető támogatott OpenPGP alapú kulcs (jellemzően .key, vagy .PGP kiterjesztésű fájl)

1. hozzuk létre ha nem lenne a /usr/share/keyrings mappát. (Ha friss Wine telepíve van, vagy modernebb PPA forrásból akármi, akkor ez a mappa nagy valószínűséggel már létezik.)

sudo mkdir /usr/share/keyrings

2. Töltsük le a kulcsot, böngészőből, vagy parancssorral:

wget -q -O key.gpg link

(A link helyére a kulcs fájl elérhetőségét kell használni)

3. ellenőrizzük a letöltött fájlt:

file key.gpg

Ilyesmit kell látnunk:

key.gpg: PGP public key block Public-Key (old)

Ez biztató, bár a kódolást ezzel nem ellenőriztük, azzal még lehet gond.

4. Hozzunk létre egy „kulcskarikát” a letöltött fájl alapján:

gpg --no-default-keyring --keyring ./tmp.gpg --import key.gpg

Ha a parancs lefutott, jelzi, hogy sikeres volt a művelet, vagy hibára futott (pl. nem támogatott / nem OpenPGP formátumú a kulcs.) Ha sikeres volt a művelet, exportáljuk a végleges fájlba:

gpg --no-default-keyring --keyring ./tmp.gpg --export --output UJ_KULCS.gpg

(A parancs végén az UJ_KULCS.gpg helyére saját / beszédesebb nevet írjunk)

5. másoljuk a kulcsunkat a helyére, töröljük az átmeneti fájlokat:

sudo mv UJ_KULCS.gpg /usr/share/keyrings
rm tmp.gpg key.gpg

6. Konfiguráljuk a kulcs használatot: Nyissuk meg a /etc/apt/sources.list.d mappában a megfelelő .list kiterjesztésű fájlt, ami a szóban forgó PPA-hoz kapcsolódik.
Látunk benne egy deb http: //ppa.akármi-link jammy main bejegyzést. A deb után, a link elé kell beszúrni: [signed-by=/usr/share/keyrings/UJ_KULCS.gpg]

tehát az egész bejegyzésnek kb. így kell kinézne:

deb [signed-by=/usr/share/keyrings/UJ_KULCS.gpg] http: //ppa.akármi_link jammy main

Amúgy, egyébként ha a kulcsot bemásoljuk az etc/apt/trusted.gpg.d mappába a hibaüzenet eltűnik, bár ez a módszer nem biztonság szempontjából nem tér el semmiben, csak a figyelmeztető üzenetet nyomja el.

Megtehetjük, hogy az etc/apt mappából a trusted.gpg fájlt egy az egyben bemásoljuk a trusted.gpg.d mappába, vagy létrehozunk saját kulcsot és azt tesszük a trusted.gpg.d mappába.

Utóbbit így kell:

sudo apt-key list

Ilyesmit kapunk:

Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
pub rsa4096 2020-01-23 [SC]

BE5E D0F9 261C AAD9 A1E5 B1A4 CD62 89E9 99EA 819D

uid [ unknown] Launchpad PPA for Jonas Kvinge

A hosszú HEXA kód végéről kell az utolsó 8 számjegy, szóköz nélkül. Azaz a 99EA819D.

sudo apt-key export 99EA819D| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/Launchpad.gpg

Ámbár ennél az is jobb, ha hagyjuk az ilyen PPA-kat, és letöltjük a DEB fájlt, és abból telepítjük a kívánt programot.

Források:

https://askubuntu.com/questions/1407632/key-is-stored-in-legacy-trusted-gpg-keyring-etc-apt-trusted-gpg

https://stackoverflow.com/questions/68992799/warning-apt-key-is-deprecated-manage-keyring-files-in-trusted-gpg-d-instead

https://www.how2shout.com/linux/solve-legacy-trusted-gpg-keyring-apt-key-apt-key-deprecation-on-ubuntu/

Hozzászólások

kimarite képe

Megjegyzés

Értékelés: 

0
Még nincs értékelve

Szerintem (*):

sudo apt-key export ******** | sudo gpg --dearmour | tee /etc/apt/trusted.gpg.d/jonaski_strawberry.gpg

Mármint, jó helyre megy a parancssorban, de korábban más helyre (/usr/local/share/keyrings/) másolod. Ha jó helyre másolod (/etc/apt/trusted.gpg.d/), akkor, nem kell kiegészítés a  forráslista sorába ([signed-by=*]).
Hol írják ezt: /usr/local/share/keyrings/?

A kulcs fájl neve jó, ha jellemző a PPA-ra, azaz, egyéni (pl. aláhúzással) az  add-apt-repository parancssorból (fejlesztő_csomag): jonaski_strawberry.gpg

A dearmor kapcsolót elgépelhetted, az nem, hosszú kötőjel, hanem kettő kötőjel (és u karakter nem kell a névbe): --dearmor

A tee nem fontos (én így mutatom), ha a gpg o kapcsolója működik.
____

Egyébként, letölthető a publikus kulcs (pub vagy sig itt, signing key itt):

wget -O key.asc "https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xbe5ed0f9261caad9a1e5b1a4cd6289e999ea819d"
gpg --import key.asc
[...]

nem vittem végig a fentit ... az ujjlenyomat (Fingerprint) hatékonyabb.:

gpg --export BE5ED0F9261CAAD9A1E5B1A4CD6289E999EA819D | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/jonaski_strawberry.gpg >/dev/null
sudo apt-get update
sudo apt-get upgrade

https://wiki.debian.org/DebianRepository/UseThirdParty#OpenPGP_key__handling

Eredmény:

file /etc/apt/trusted.gpg.d/jonaski_strawberry.gpg
/etc/apt/trusted.gpg.d/jonaski_strawberry.gpg: PGP/GPG key public ring (v4) created Thu Jan 23 22:20:18 2020 RSA (Encrypt or Sign) 4096 bits MPI=0xd0147deabc57f051...

Természetesen Debian rendszer (most)...,

apt-cache policy strawberry
strawberry:
  Telepítve: (nincs)
  Jelölt:    1.0.9-jammy
  Verziótáblázat:
     1.0.9-jammy 500
        500 https://ppa.launchpadcontent.net/jonaski/strawberry/ubuntu jammy/main amd64 Packages
     1.0.7-1~bpo11+1 100
        100 http://deb.debian.org/debian bullseye-backports/main amd64 Packages

úgyhogy PPA-t ne. LMDE-re se.! Törlöm is:

sudo rm /etc/apt/trusted.gpg.d/jonaski_strawberry.gpg /etc/apt/sources.list.d/jonaski_strawberry.list
sudo apt-get update ; sudo apt-get upgrade
kimarite képe

Megjegyzés: forrás fájl

Értékelés: 

0
Még nincs értékelve

#1 Mivel a forrás fájl felépítése megváltozott (*.list -> *.sources), kíváncsi lennék: nálad hol van, és mi a szöveges tartalma?
Nem elvetemült gondolat az mkdir-es dolog, csak ezt érdemes háttérnek tudni.

Ilyesmi az új forrás fájl, és logikus, de korántsem hivatalos megoldás a gpg elérési út:

Types: deb
URIs: https://riot.im/packages/debian/
Suites: stretch
Components: main
Signed-By: /usr/local/share/keyrings/riot-archive-keyring.gpg
kimarite képe

Megjegyzés: forrás fájl | /etc/apt/trusted.gpg.d/

Értékelés: 

0
Még nincs értékelve

#1.1 A „nem elvetemült gondolaton” azt értem, hogyha a rendszeren a *.sources van használva, akkor azt a Signed-By: sorral kell megoldani, de inkább az /etc/apt/trusted.gpg.d/ könyvtárban legyen kulcs,

ls /etc/apt/trusted.gpg.d/
anydesk.gpg
anydesk.gpg~
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg
home_devlovers-id_apps.gpg
home_npreining_debian-kde_apps2208.gpg
home_RandLin_LM-backports.gpg
home_smplayerdev.gpg
home_Sokoloff.gpg
home_stevenpusser.gpg
home_WlaBo_hypnotix.gpg
librewolf.gpg
liquorix-keyring.gpg
xanmod-kernel.gpg
xanmod-kernel.gpg~

ha a *.list van használva, akkor szintén az /etc/apt/trusted.gpg.d/ könyvtárba menjen a kulcs szerintem.

Nálam egy alkalmazás használja a Debian Wiki javaslatot (*.sources),

Signed-By: /usr/share/keyrings/*.gpg

itt (létahtó, az én rendszerem a *.list megoldást használja),

inxi -r
Repos:
  Active apt repos in: /etc/apt/sources.list
  1: deb http://deb.debian.org/debian/ bullseye main non-free contrib
  2: deb-src http://deb.debian.org/debian/ bullseye main non-free contrib
  3: deb http://security.debian.org/debian-security bullseye-security main contrib non-free
  4: deb-src http://security.debian.org/debian-security bullseye-security main contrib non-free
  5: deb http://deb.debian.org/debian/ bullseye-updates main contrib non-free
  6: deb-src http://deb.debian.org/debian/ bullseye-updates main contrib non-free
  7: deb http://deb.debian.org/debian bullseye-backports main contrib non-free
  8: deb-src http://deb.debian.org/debian bullseye-backports main contrib non-free
  Active apt repos in: /etc/apt/sources.list.d/anydesk-stable.list
  1: deb http://deb.anydesk.com/ all main
  Active apt repos in: /etc/apt/sources.list.d/balena-etcher.list
  1: deb https://dl.cloudsmith.io/public/balena/etcher/deb/debian bullseye main
  2: deb-src https://dl.cloudsmith.io/public/balena/etcher/deb/debian bullseye main
  Active apt repos in: /etc/apt/sources.list.d/cisofy-lynis.list
  1: deb https://packages.cisofy.com/community/lynis/deb/ stable main
  Active apt repos in: /etc/apt/sources.list.d/home:RandLin:LM-backports.list
  1: deb http://download.opensuse.org/repositories/home:/RandLin:/LM-backports/Debian_11/ /
  Active apt repos in: /etc/apt/sources.list.d/home:Sokoloff.list
  1: deb http://download.opensuse.org/repositories/home:/Sokoloff/Debian_10/ /
  Active apt repos in: /etc/apt/sources.list.d/home:WlaBo:hypnotix.list
  1: deb http://download.opensuse.org/repositories/home:/WlaBo:/Debian_11/Debian_11/ /
  Active apt repos in: /etc/apt/sources.list.d/home:devlovers-id:apps.list
  1: deb http://download.opensuse.org/repositories/home:/devlovers-id:/apps/Debian_11/ /
  No active apt repos in: /etc/apt/sources.list.d/home:npreining:debian-kde:apps2208.list
  Active apt repos in: /etc/apt/sources.list.d/home:smplayerdev.list
  1: deb http://download.opensuse.org/repositories/home:/smplayerdev/Debian_11/ /
  Active apt repos in: /etc/apt/sources.list.d/home:stevenpusser.list
  1: deb http://download.opensuse.org/repositories/home:/stevenpusser/Debian_11/ /
  Active apt repos in: /etc/apt/sources.list.d/librewolf.list
  1: deb [arch=amd64] http://deb.librewolf.net bullseye main
  Active apt repos in: /etc/apt/sources.list.d/liquorix.list
  1: deb http://liquorix.net/debian bullseye main
  2: deb-src http://liquorix.net/debian bullseye main
  Active apt repos in: /etc/apt/sources.list.d/protonvpn-stable.list
  1: deb [signed-by=/usr/share/keyrings/protonvpn-stable-archive-keyring.gpg] https://repo.protonvpn.com/debian stable main
  Active apt repos in: /etc/apt/sources.list.d/systemback.list
  1: deb [arch=amd64] http://mirrors.bwbot.org/ stable main
  2: deb-src [arch=amd64] http://mirrors.bwbot.org/ stable main
  Active apt repos in: /etc/apt/sources.list.d/virtualbox.list
  1: deb [arch=amd64] https://download.virtualbox.org/virtualbox/debian bullseye contrib
  Active apt repos in: /etc/apt/sources.list.d/winehq.list
  1: deb https://dl.winehq.org/wine-builds/debian/ bullseye main
  No active apt repos in: /etc/apt/sources.list.d/xanmod-kernel.list

de ez esetben meg keveredik a rendszer dolgokkal..., és ez nem feltétlen jó.

ls /usr/share/keyrings/
debian-archive-bullseye-automatic.gpg
debian-archive-bullseye-security-automatic.gpg
debian-archive-bullseye-stable.gpg
debian-archive-buster-automatic.gpg
debian-archive-buster-security-automatic.gpg
debian-archive-buster-stable.gpg
debian-archive-keyring.gpg
debian-archive-removed-keys.gpg
debian-archive-stretch-automatic.gpg
debian-archive-stretch-security-automatic.gpg
debian-archive-stretch-stable.gpg
debian-keyring.gpg
debian-maintainers.gpg
debian-nonupload.gpg
debian-role-keys.gpg
protonvpn-stable-archive-keyring.gpg

Ezeket tisztázni kéne, hogy tudjuk a lehetőségeket.. https://www.youtube.com/watch?v=4ugOe7GXhGE&list=RDCQXOfKrfgsU&index=16

Megjegyzés

Értékelés: 

0
Még nincs értékelve

#1 >Mármint, jó helyre megy a parancssorban, de korábban más helyre (/usr/local/share/keyrings/) másolod. Ha jó helyre másolod (/etc/apt/trusted.gpg.d/), akkor, nem kell kiegészítés a  forráslista sorába ([signed-by=*]).
Hol írják ezt: /usr/local/share/keyrings/?

Jogos, a forrásokat nem jelöltem meg végül, nagyon késő volt, hiába néztem át 20x.

De, a /etc/apt/trusted.gpg.d/ csak abból a szempontból jó, hogy elnyomja a figyelmeztetést, de ezzel szemben nem szűnik meg az ok, ami miatt ez az egész van.

A végső megoldás a /usr/local/share/keyrings/ és a [signed-by=*], ugyanakkor a mappa nem beégetett, akárhol lehet a kulcs, csak jól kell hivatkozni rá a signed by-nál. Ez a /usr/local/share/keyrings/ mappa viszont egy de facto dolognak tűnik, több PPA, pl. a Wine is ide teszi a  kulcsot.

Akkor a források:

https://askubuntu.com/questions/1407632/key-is-stored-in-legacy-trusted-gpg-keyring-etc-apt-trusted-gpg

https://stackoverflow.com/questions/68992799/warning-apt-key-is-deprecated-manage-keyring-files-in-trusted-gpg-d-instead

https://www.how2shout.com/linux/solve-legacy-trusted-gpg-keyring-apt-key-apt-key-deprecation-on-ubuntu/

 

>A dearmor kapcsolót elgépelhetted, az nem, hosszú kötőjel, hanem kettő kötőjel (és u karakter nem kell a névbe): --dearmor

Nagyon jogos, kösz. Mint írtam, 20x átnéztem, javítani kellett a LO hülyeségeit, meg a Drupal hülyeségeit, LO kötőjelre áthúzza az előtte levő szavakat, meg ilyenek, folyton trükközni kellett. A Drupal meg linket csinál a http:// kezdetű stringekből, de csak az első ékezetes karakterig, azt sem tudtam másképp megoldani, egy szóközt kellett tenni a példába, különben sehogy se nézett ki a végeredmény. Tehát a deb http: //ppa.akármi-link -ben nem kell szóköz a http: után.

Javítom a cikket...

Debian

Értékelés: 

0
Még nincs értékelve

PPA Debianra? Az álmoskönyvek szerint nem jót jelent.

kimarite képe

Megjegyzés

Értékelés: 

0
Még nincs értékelve

#1.2 Egyik sem magyarázat valójában..., ugyanis az elsőként linkelt leírásban hivatkozik a Debian Wiki-re

More details on the manual:
link

no, de ott nem szerepel ez az elérési út: /usr/local/share/keyrings/

Ez a /usr/local/share/keyrings/ mappa viszont egy de facto dolognak tűnik, több PPA, pl. a Wine is ide teszi a  kulcsot.

Mutatod, mi van ott a WineHQ telepítése után?

ls /usr/local/share/keyrings

Én csak arra alapozok, hogy a kimenet is azt mondja, amit én mondok:

sudo apt-key update
[sudo] debkim jelszava:
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
Warning: 'apt-key update' is deprecated and should not be used anymore!
Note: In your distribution this command is a no-op and can therefore be removed safely.

Azaz:

Figyelmeztetés: az apt-key elavult. Kezelje helyette a trusted.gpg.d fájlokat (lásd apt-key(8)).
Figyelmeztetés: Az 'apt-key update' elavult és nem használható többé!
Megjegyzés: A disztribúciójában ez a parancs nem működik, ezért nyugodtan eltávolítható.

FILES: https://manpages.ubuntu.com/manpages/xenial/man8/apt-key.8.html
( https://manpages.debian.org/testing/apt/apt-key.8.en.html )

A megbízható kulcsok fájlrészletei, további kulcsszalagok tárolhatók itt (más kulcsszalagok által).
           csomagok vagy a rendszergazda). Konfigurációs elem Dir::Etc::TrustedParted

Nálad mit mond a kimenet szűz rendszeren vagy másik PPA hozzáadása után?

sudo apt-key update

Hogy a WineHQ miért hozza létre az elérési utat, és miért teszi oda a kulcsot, ... lövésem sincs. Hivatalosan nem csinálhatná. Debian rendszeren nem csinálja, látod fentebb, hova teszi.
De amúgy a hivatalos WineHQ leírásban sem látszik, hogy oda tenné:
https://wiki.winehq.org/Ubuntu

Egyáltalán a WineHQ-ra gondolsz, amikor a Wine-t említed?

kimarite képe

Megjegyzés

Értékelés: 

0
Még nincs értékelve

#1.2.1 Amúgy a --signed-by előnyeit
https://manpages.debian.org/bullseye/apt/sources.list.5.en.html
nem látom, azaz a gyakorlatban a leírás szerinti történet nem szokott előfordulni: egy-egy kulcs (tükör) nem szokott más kulcsokat vagy ujjlenyomatokat felhasználni:

Az -Signed-By (signed-by) egy olyan opció, amely megköveteli, hogy egy tároló ne az összes megbízható kulcsot, hanem egy bizonyos kulcskészletet használjon az apt-secure(8) ellenőrzéséhez. Megadható a kulcskarika-fájlok abszolút elérési útvonalainak listájaként (a _apt rendszerfelhasználó számára elérhetőnek és olvashatónak kell lennie, ezért biztosítsuk, hogy mindenki rendelkezzen olvasási jogokkal a fájlhoz), valamint az ezekből a kulcskarikákból kiválasztandó kulcsok ujjlenyomataival. Ha nem adunk meg kulcsmásolat-fájlokat, akkor az alapértelmezett a trusted.gpg kulcsmásolat és a trusted.gpg.d/ könyvtárban lévő összes kulcsmásolat (lásd apt-key fingerprint). Ha nincs ujjlenyomat megadva, akkor az összes kulcsot kiválasztja a rendszer. Egy ujjlenyomat elfogadja az összes aláírást is, amelyet az adott kulcs egy alkulcsa ad, ha ez nem kívánatos, akkor egy felkiáltójel (!) hozzáadható az ujjlenyomathoz, hogy letiltsa ezt a viselkedést. Az opció alapértelmezett értéke az azonos nevű opció értéke, ha az adott adattár korábban megszerzett Release fájljában van megadva (csak ujjlenyomatok adhatók meg rajta keresztül). Ellenkező esetben a megbízható kulcskarikában lévő összes kulcs érvényes aláírónak minősül ehhez az adattárhoz.

Erre még nem volt példa (kiemelt szöveg). Elképzelni sem tudom, persze, ez más kérdés már.
Próbálok még utánanézni.

kimarite képe

Valamit, lehet benézek,

Értékelés: 

0
Még nincs értékelve

de az említett PPA -vagy más PPA- tekintetében azt nem látom, honnan szedhető le az URL-t (link).

2. Töltsük le a kulcsot, böngészőből, vagy parancssorral:

wget -q -O key.gpg link

(A link helyére a kulcs fájl elérhetőségét kell használni)

Én tudom (leírtam), de te nem írod.

kimarite képe

DontBreakDebian | PPA

Értékelés: 

0
Még nincs értékelve

#2 Ubuntu, Mint vagy más származékos tárolók nem kompatibilisek a Debian-nal!
Ubuntu PPA-k és egyéb, egyes alkalmazások terjesztésére létrehozott tárolók

https://wiki.debian.org/DontBreakDebian

Tehát a PPA-t nem lehet használni a Debian vagy a Debian-alapú rendszereken (pl. LMDE, MX Linux).
___

A PPA-k arra használhatók, hogy az ubuntuban (és az Ubuntu-alapú rendszereken, mint például a Linux Mint) elérhető szoftverek körét olyan programokkal bővítsék, amelyek egyébként nem érhetők el az ubuntuban, valamint arra, hogy a fő archívumba importálhatóak legyenek az újabb verziók, például a béta programok, amelyek még nem estek át elegendő tesztelésen.
https://help.ubuntu.com/community/PPA

Megjegyzés

Értékelés: 

0
Még nincs értékelve

#1.2.1

>no, de ott nem szerepel ez az elérési út: /usr/local/share/keyrings/

én marhaságom>Ez a /usr/local/share/keyrings/ mappa viszont egy de facto dolognak tűnik, több PPA, pl. a Wine is ide teszi a  kulcsot.

>Mutatod, mi van ott a WineHQ telepítése után?

>ls /usr/local/share/keyrings

nincs ott semmi, tudtam én, hogy éjjel jobb inkább aludni. Helyesen /usr/share/keyrings (javítottam fent, ezer bocs skacok).

ls /usr/share/keyrings
linuxmint-keyring.gpg            ubuntu-cloudimage-keyring.gpg       ubuntu-dbgsym-removed-keys.gpg
ubuntu-archive-keyring.gpg       ubuntu-cloudimage-removed-keys.gpg  ubuntu-master-keyring.gpg
ubuntu-archive-removed-keys.gpg  ubuntu-dbgsym-keyring.gpg           winehq-archive.key

 

>Hogy a WineHQ miért hozza létre az elérési utat, és miért teszi oda a kulcsot, ... lövésem sincs. Hivatalosan nem csinálhatná. Debian rendszeren nem csinálja, látod fentebb, hova teszi.
De amúgy a hivatalos WineHQ leírásban sem látszik, hogy oda tenné:
https://wiki.winehq.org/Ubuntu(külső hivatkozás)

Egyáltalán a WineHQ-ra gondolsz, amikor a Wine-t említed?

Igen, a WineHQ-ról van szó, és erre gondoltam:

Download and add the repository key:

sudo wget -nc -O /usr/share/keyrings/winehq-archive.key https://dl.winehq.org/wine-builds/winehq.key

 

>Amúgy a --signed-by előnyeit
https://manpages.debian.org/bullseye/apt/sources.list.5.en.html(külső hivatkozás)
nem látom, azaz a gyakorlatban a leírás szerinti történet nem szokott előfordulni: egy-egy kulcs (tükör) nem szokott más kulcsokat vagy ujjlenyomatokat felhasználni:

Hát igen, én is azt gondoltam, hogy ha eddig ez jó volt, akkor mégis mi változott. De lehet, hogy Canonical tud valamit, azért erőlködik, történhetett valami, amit nem vernek nagydobra.

 

Valamit, lehet benézek,

Értékelés: 

0
Még nincs értékelve

#3 de az említett PPA -vagy más PPA- tekintetében azt nem látom, honnan szedhető le az URL-t (link).

2. Töltsük le a kulcsot, böngészőből, vagy parancssorral:

wget -q -O key.gpg link

(A link helyére a kulcs fájl elérhetőségét kell használni)

Én tudom (leírtam), de te nem írod

Nem, mert ez nem a Strawbery-ről szól.

Én is kísérleteztem a kulcssal, letöltöttem, de nem akart működni, mert Lauchpad kódolását nem fogadja el, ebbe nem mentem bele, ez már más tészta.

De azért nem írtam konkrét linket, mert ez arra az _akármilyen_ esetre vonatkozik, amikor van megjelölve kulcs letölthetőségi lehetőség. Hétköznapi haladónak.

Előfordulhat hogy van PPA kulcs letöltési lehetőség, pl. a Double Commader esetében is volt, még mielőtt átnyergelt volna az Opensuse-hoz.

kimarite képe

Valamit, lehet benézek, Megjegyzés

Értékelés: 

0
Még nincs értékelve

#1.2.1.2 a WineHQ-ról van szó, és erre gondoltam:
Download and add the repository key:

sudo wget -nc -O /usr/share/keyrings/winehq-archive.key https://dl.winehq.org/wine-builds/winehq.key

Lentebb írom, miért nem jó ez, ugye hibaüzenetet is kapsz -legalábbis én kaptam, ha jól emlékszem- tehát megfelelően formált *.gpg mehet az /usr/share/keyring/ útvonalra, *.key nem. Felőlem használd a --signed-by= kapcsolót ezzel a fenti úttal és *.gpg fájllal. Amit én írtam, szerintem semmi veszélye nincsen, le is vezettem, miért. De gondolkodom még ezen.

Ott kezdődött a történet, elég régen, hogy a pubring.gpg tárolási forma átalakításra került (példa), a GnuPG által:
https://www.gnupg.org/documentation/manuals/gnupg/GPG-Configuration.html#GPG-Configuration

A GnuPG 2.1-gyel ez megváltozott, és a gpg most már minden privát kulcs műveletet is a gpg-agentre delegál. Így a gpg bináris programban nincs több kód a magánkulcsok kezelésére. En passant ez lehetővé teszi a régóta kért "titkos kulcsok egyesítését" és számos más fejlett kulcskezelési technikát.
https://gnupg.org/faq/whats-new-in-2.1.html#nosecring

Ennek az a lényege, hogy a titkos kulcs, és a nyilvános kulcs egy kulcskarikán tárolódik. Természetesen ez a saját kulcsaidnál van így, mert például egy PPA-nál annak a  nyilvános kulcsát kapod meg. És, ha például az OpenPGP használatával váltasz e-mail-t valakivel, akkor vele csak a nyilvános kulcsodat szabad megosztani, avagy csakis a nyilvános kulcsodat szabad kulcsszerverre feltölteni. Ha a privát kulcsodat megosztanád (bárhogyan), az nagy baj, mert visszaélhetnek azzal.

A nekem mutatott (WineHQ) *.key bináris, a szintén néhol még létező *.asc ASCII fájl kivezetésre azért kerül -mégpedig a Debian döntése értelmében, és ezt az Ubuntu átvette- mert nem kedvező tulajdonságokkal rendelkezik:

Az apt-key csak a bináris OpenPGP formátumot (más néven "GPG key public ring") támogatja a "gpg" kiterjesztésű fájlokban, nem pedig az újabb gpg(1) verziókban bevezetett keybox adatbázis formátumot, amely alapértelmezett a kulcstartó fájlok esetében. A bármelyik apt verzióval használni kívánt bináris kulcskarika fájlokat ezért mindig a gpg --export kapcsolóval kell létrehozni.
https://manpages.debian.org/testing/apt/apt-key.8.en.html

Kivezetésre kerül a következő kiadások utáni kiadásokban:

apt-key(8) will last be available in Debian 11 and Ubuntu 22.04.

Na most, a gpg --dearmor kapcsolója azért kell, mert nem ASCII fájlformátumban (--armor) kell a kulcsokat tárolni, menteni, hanem bináris formában, utóbbi sokkal biztonságosabb, mint  szöveges forma.

hogy Canonical tud valamit, azért erőlködik, történhetett valami, amit nem vernek nagydobra.

A Debian lépése volt ez.
___

#3.1 Én is kísérleteztem a kulccsal, letöltöttem, de nem akart működni, mert Lauchpad kódolását nem fogadja el, ebbe nem mentem bele, ez már más tészta.
De azért nem írtam konkrét linket, mert ez arra az _akármilyen_ esetre vonatkozik, amikor van megjelölve kulcs letölthetőségi lehetőség. Hétköznapi haladónak.

Előfordulhat hogy van PPA kulcs letöltési lehetőség,

Van mindig URL! Csak át kell alakítani (gpg --import). De akkor nem az ujjlenyomatot írom (mint itt), hanem a kulcsot. Itt van,
https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xbe5ed0f9261caad9a1e5b1a4cd6289e999ea819d
és így néz ki.

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: Hockeypuck 2.1.0-174-gd12b4b6
Comment: Hostname: 

blablabla
-----END PGP PUBLIC KEY BLOCK-----

(Launhpad -> Signing key -> pub vagy sig sig)

Ami „trükk”, ha krikszkrakszok vannak az URL-ben (például ?), akkor macskaköröm... . Mindegy, hogy *.key  vagy *.asc (a kiterjesztés).

wget -O key.asc "https://keyserver.ubuntu.com/pks/lookup?op=get&search=0xbe5ed0f9261caad9a1e5b1a4cd6289e999ea819d"

Egyébként automatikusan oda is kerül a cucc, ahova te szeretnéd
Itt most én teszem oda:

gpg --import key.asc | sudo gpg --dearmor -o /usr/share/keyrings/jonaski_strawberry.gpg >/dev/null
gpg: key CD6289E999EA819D: "Launchpad PPA for Jonas Kvinge" not changed
gpg:      Összesen feldolgoztam: 1
gpg:                változatlan: 1
File '/usr/share/keyrings/jonaski_strawberry.gpg' exists. Overwrite? (y/N) y
gpg: Nem találtam érvényes OpenPGP adatot.

de korábban nem ide tettem, emlékszel!

A leírásban te is arra az elérési útra teszed, ahova én:

A hosszú HEXA kód végéről kell az utolsó 8 számjegy, szóköz nélkül. Azaz a 99EA819D.

sudo apt-key export 99EA819D| sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/Launchpad.gpg

Tehát minden jó, ha a vége jó. Mármint tesztelj bőszen. (*)
Véleményem szerint, ha az /etc/apt/trusted.gpg.d/ elérési útra teszed, akkor megjelenik az /usr/share/keyrings/ elérési úton is. Legalábbis ezt következtettem ki, de teszteld [*] majd te is.

A sudo apt-key export 99EA819D használata: más megoldás kéne, hiszen a következő kiadásban elavul az apt-key.

kimarite képe

De jó leírás! Nem veszed (módszer)

Értékelés: 

0
Még nincs értékelve

#4 Kicsit másként, de itt is megvan. Összedolgozás?
https://linuxmint.hu/blog/2020/05/a-woeusb-telepitese-hasznalata
Innentől olvasd: PPA / A telepítés a Launchpad tükör felvételével zajlik. [...]  Módszere (frissítve: 2022.09.11.) Linux Mint 20.x

De jó leírás! Nem veszed De jó leírás! Nem veszed

Értékelés: 

0
Még nincs értékelve

#4

#4 Részemről mindig szabad a gazda, de:

- Kimarite is írt okosságokat a kommentekben, kéretik azokat figyelembe venni / beledolgozni.

- Én azt gondolom, ez egy időleges dolog, 1-2 év és idejét múlt dolog lesz. Biztos jó ötlet "kőbe vésett" dolgot csinálni belőle?