Вопросы Теги

Как я могу проверить, какие репозитории / пакеты apt проверены определенными ключами?

Я унаследовал сервер Ubuntu 18.04, к которому в прошлом были добавлены несколько пользовательских репозиториев и ключей. Я хотел бы убедиться, что все ключи все еще используются, и посмотреть, какие пакеты проверяет каждый из них. Есть ли способ сделать это?

Я могу перечислить все ключи, используя apt-key list и заглянув в /etc/apt/trusted.gpg [.d] , но как я могу сравнить их с репозиториями и пакетами?

0
задан 26 March 2020 в 12:14
1 ответ

Проверка обеспечивается путем подписания сумм MD5 пакетов, перечисленных в файле Release источника APT. Загрузите Release.gpg из каждого источника и проверьте, какие ключи используются для их подписания. Таким образом вы получите список пакетов, подписанных ключом, а не наоборот.

Например. deb http://us.archive.ubuntu.com/ubuntu/ bionic main limited

  1. имеет файл Release , подписанный в Release.gpg
  2. gpg -vv Release. gpg дает keyid 3B4FE6ACC0B21F32

  3. Сравните идентификатор ключа с теми, которые указаны в вашем списке apt-key : 

     /etc/apt/trusted.gpg.d/ubuntu-keyring -2012-archive.gpg
-------------------------------------------------- ----
pub rsa4096 11 мая 2012 г. [SC]
790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
uid [unknown] Ключ автоматической подписи архива Ubuntu (2012) (скрыт)
2
ответ дан 30 March 2020 в 17:41

Теги

Похожие вопросы