Thất vọng với GPG ký kho lưu trữ được quản lý khéo léo

4

Chúng tôi lưu trữ một số gói phần mềm của riêng chúng tôi dưới dạng các bản sửa lỗi trong kho lưu trữ của riêng chúng tôi. Đối với mục đích tạo mẫu, chúng tôi đã điều hành hệ thống không xác thực được. Bây giờ chúng tôi đang cố gắng làm mọi thứ chính xác hơn và thực hiện toàn bộ điều GPG. Những gì tôi đã thử, chỉ để chạy thử là như sau:

1) Làm chìa khóa với gpg-gen

~$ gpg --list-keys
/home/me/.gnupg/pubring.gpg
--------------------------------
pub   4096R/BBBBB39F 2017-03-09
uid                  Someone Somebody <someone@somewhere.com>
sub   4096R/129E9336 2017-03-09

(những gì btw, là điều SUB ở đó?)

2) aptly publish... Điều này nhắc tôi về mật khẩu của tôi cho khóa đã nói, vì vậy nó phải làm gì đó với khóa tại thời điểm đó.

3) xuất khóa bằng cách sử dụng gpg —export —armor > somefile.pubkey

4) sao chép một số file.pubkey qua máy kiểm tra

5) chạy sudo apt-key add somefile.pubkey

sudo apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa4096 2017-03-09 [SC]
     E51B E216 4658 FB8B 6E42  8A09 F9BC EF4C BBBB B39F
uid           [ unknown] Someone Somebody <someone@somewhere.com>
sub   rsa4096 2017-03-09 [E]
…
…
…

Vì vậy, nó dường như đã nhận được ở đó. Điều phụ hiện lên khác nhau bây giờ?

6) Và cuối cùng, sudo apt-get update: 

~$ sudo apt-get update
Hit:1 http://ftp.us.debian.org/debian stretch InRelease
Hit:2 http://ftp.us.debian.org/debian stretch-updates InRelease     
Hit:3 http://security.debian.org stretch/updates InRelease          
Get:4 http://our.aptly.repo stretch InRelease [2317 B]
Ign:4 http://our.aptly.repo stretch InRelease            
Fetched 2317 B in 9s (256 B/s)                                                 
Reading package lists... Done
W: GPG error: http://our.aptly.repo stretch InRelease: The following signatures were invalid: E51BE2164658FB8B6E428A09F9BCEF4CBBBBB39F
W: The repository 'http://our.aptly.repo stretch InRelease' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

Tôi không hiểu những gì xảy ra ở đây. Các hành vi phạm tội dường như là một cái gì đó không được ký? Tôi đã bỏ lỡ bước nào?

linux  debian  gnupg  apt-get 
Travis Griggs
nguồn
Tôi đoán rằng aptly publish Không nên làm tất cả những gì cần phải ký vào các tệp lưu trữ và thiết lập mọi thứ chính xác, có lẽ nó có một cờ dài dòng? Có lẽ ai đó hoặc một câu trả lời trên serverfault có nhiều thông tin hơn, dường như nói chung về việc thiết lập một máy chủ kho lưu trữ ...?
Xen2050
Tôi không biết. Tôi đang chạy phiên bản khéo léo 0.9.6 trên Ubuntu 16. Nó khá cập nhật và hiện tại đã xuất hiện được một thời gian và các hướng dẫn của họ nhảy vào ký GPG ngay lập tức. Có vẻ như nếu điều này đã được thực hiện, nó sẽ là một vấn đề từ lâu. Tôi cũng không có bất kỳ bằng chứng nào, nhưng có vẻ như điều này sẽ không bị phá vỡ nếu có.
Travis Griggs
Dù sao, tôi đã làm làm theo lời khuyên ngụ ý để đăng câu hỏi tương tự / tương tự trên ServerFault. Chúng ta sẽ xem nếu nó mang thêm trái cây.
Travis Griggs

Câu trả lời:

2

Bạn đề cập trong các ý kiến ​​rằng bạn đang sử dụng Aptly v0.9.6. Aptly sử dụng chữ ký SHA1 cho đến 0.9.7 ( PR có liên quan , lưu ý rằng nó cũng được nhập vào v0.9.6.1), bản cài đặt kéo dài Debian cập nhật sẽ không còn chấp nhận. Xem xét thêm repo của họ vào nguồn của bạn.list để bạn có thể sử dụng phiên bản mới hơn.

Kyle
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.