Я унаследовал сервер Ubuntu 18.04, к которому в прошлом были добавлены несколько пользовательских репозиториев и ключей. Я хотел бы убедиться, что все ключи все еще используются, и посмотреть, какие пакеты проверяет каждый из них. Есть ли способ сделать это?
Я могу перечислить все ключи, используя apt-key list
и заглянув в /etc/apt/trusted.gpg [.d]
, но как я могу сравнить их с репозиториями и пакетами?
Проверка обеспечивается путем подписания сумм MD5 пакетов, перечисленных в файле Release
источника APT. Загрузите Release.gpg
из каждого источника и проверьте, какие ключи используются для их подписания. Таким образом вы получите список пакетов, подписанных ключом, а не наоборот.
Например. deb http://us.archive.ubuntu.com/ubuntu/ bionic main limited
Release
, подписанный в Release.gpg
gpg -vv Release. gpg
дает keyid 3B4FE6ACC0B21F32
Сравните идентификатор ключа с теми, которые указаны в вашем списке apt-key
:
/etc/apt/trusted.gpg.d/ubuntu-keyring -2012-archive.gpg
-------------------------------------------------- ----
pub rsa4096 11 мая 2012 г. [SC]
790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
uid [unknown] Ключ автоматической подписи архива Ubuntu (2012) (скрыт)