apt-key

Aus Foxwiki

apt-key - Veraltetes APT-Schlüsselverwaltungsprogramm

Beschreibung

APT-Schlüssel verwalten

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden

  • Pakete, die mit diesen Schlüsseln authentifiziert wurden, diese Schlüssel authentifiziert, werden als vertrauenswürdig angesehen

Mit apt-key kann der von apt zur Authentifizierung von Paketen verwendete Schlüsselring verwaltet werden

  • Pakete, die mit einem Schlüssel aus dem Schlüsselring authentifiziert wurden, werden als vertrauenswürdig angesehen

apt-key ist veraltet

  • Mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten, um vorhandene Schlüssel aus dem Hauptschlüsselring Schlüsselbund zu entfernen
  • Wenn eine solche Verwendung von apt-key gewünscht wird, ist die zusätzliche Installation der GNU Privacy Guard Suite (in gnupg verpackt) erforderlich
apt-key(8) wird zuletzt in Debian 12 und Ubuntu 24.04 verfügbar sein
Unterstützte Schlüsselbunddateien

apt-key unterstützt nur das binäre OpenPGP-Format (auch bekannt als "GPG key public ring") in Dateien mit der Erweiterung "gpg", nicht das Keybox-Datenbankformat, das in neueren gpg(1)-Versionen als Standard für Schlüsselbunddateien eingeführt wurde

  • Binäre Schlüsselbunddateien, die für mit einer beliebigen apt-Version verwendet werden sollen, sollten daher immer mit gpg --export erstellt werden

Wenn alle Systeme, die den erzeugten Schlüsselring verwenden sollen, mindestens die Version apt >= 1.4 installiert haben, können Sie alternativ das ASCII-armor-Format mit der Erweiterung "asc" verwenden, das mit gpg --armor --export erzeugt werden kann

Mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten ist die Verwendung von apt-key veraltet

apt-key ersetzen

Wenn Ihre bisherige Verwendung von apt-key add wie folgt aussieht:

wget -qO- https://myrepo.example/myrepo.asc | sudo apt-key add -

Dann können Sie dies direkt ersetzen durch (beachten Sie jedoch die Empfehlung unten):

wget -qO- https://myrepo.example/myrepo.asc | sudo tee /etc/apt/trusted.gpg.d/myrepo.asc

Stellen Sie sicher, dass Sie die Erweiterung "asc" für ASCII-gepanzerte Schlüssel und die Erweiterung "gpg" für das binäre OpenPGP-Format verwenden (auch bekannt als bekannt als "GPG key public ring")

  • Das binäre OpenPGP-Format funktioniert für alle apt-Versionen, während das ASCII-gepanzerte Format für apt Version >= 1.4
Empfehlung
Anstatt die Schlüssel im Verzeichnis /etc/apt/trusted.gpg.d abzulegen, können Sie sie auch an einem beliebigen Ort in Ihrem Dateisystem ablegen indem Sie die Option Signed-By in Ihrer sources.list verwenden und auf den Dateinamen des Schlüssels verweisen
  • Siehe sources.list(5) für Details
Seit APT 2.4 wird /etc/apt/keyrings als empfohlener Ort für Schlüssel, die nicht von Paketen verwaltet werden, angegeben
  • Bei Verwendung einer sources.list im Stil von deb822 und mit einer apt-Version >= 2.4 kann die Option Signed-By auch verwendet werden, um den vollständigen ASCII-gepanzerten Schlüsselbund direkt in die sources.list aufzunehmen, ohne eine zusätzliche Datei

Aufruf

apt-key [--keyring filename] {add filename | del keyid | export keyid | exportall | list | finger | adv | update | net-update | {-v | --version} | {-h | --help}}

Optionen

Beachten Sie, dass die Optionen vor den im vorherigen Abschnitt beschriebenen Befehlen definiert werden müssen

Option Beschreibung
--keyring filename (veraltet) Schlüsseldatei, die bearbeitet werden soll
Voreinstellung
  • trusted.gpg
  • Teile im Verzeichnis trusted.gpg.d
Primäre Schlüsselbund
  • trusted.gpg
  • Neue Schlüssle werden z. B. hier hinzugefügt

Parameter

Kommandos

Schlüsselring bearbeiten

add Schlüssel hinzufügen
del Schlüssel löschen
list Schlüssel auflisten
update Schlüssel aktualisieren
add filename (veraltet)

Fügt einen neuen Schlüssel in die Liste der vertrauenswürdigen Schlüssel ein

  • Der Schlüssel wird aus dem Dateinamen gelesen, der mit dem Parameter filename angegeben wurde, oder, wenn der

Dateiname ist - von der Standardeingabe

Es ist wichtig, dass manuell über apt-key hinzugefügte Schlüssel auf ihre Zugehörigkeit zum Besitzer der Repositories, für die sie sich ausgeben, überprüft werden für die sie zu sein vorgeben, andernfalls wird die apt-secure(8)-Infrastruktur vollständig unterminiert

Hinweis: Anstatt diesen Befehl zu verwenden, sollte ein Schlüsselbund direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ gelegt werden, mit einem beschreibenden Namen und entweder "gpg" oder "asc" als Dateierweiterung abgelegt werden

del keyid (meist veraltet)

Entfernt einen Schlüssel aus der Liste der vertrauenswürdigen Schlüssel

export keyid (veraltet)

Gibt den Schlüssel keyid auf der Standardausgabe aus

exportall (veraltet)

Gibt alle vertrauenswürdigen Schlüssel auf der Standardausgabe aus

list, finger (veraltet)

Listet vertrauenswürdige Schlüssel mit Fingerabdrücken auf

adv (veraltet)

Übergibt erweiterte Optionen an gpg

  • Mit adv --recv-key können Sie z.B
  • Schlüssel von Schlüsselservern direkt in den vertrauenswürdigen Satz

Schlüssel herunterladen

  • Beachten Sie, dass keine Prüfungen durchgeführt werden, so dass es einfach ist, die apt-secure(8)-Infrastruktur komplett zu untergraben, wenn unvorsichtig verwendet wird
update (veraltet)

Aktualisiert den lokalen Schlüsselbund mit dem Archivschlüsselbund und entfernt aus dem lokalen Schlüsselbund die Archivschlüssel, die nicht mehr gültig sind

  • Der Archiv-Schlüsselring wird im archive-keyring-Paket Ihrer Distribution ausgeliefert, z.B
  • das debian-archive-keyring Paket in Debian

Beachten Sie, dass eine Distribution diesen Befehl nicht mehr verwenden muss und auch nicht mehr verwenden sollte und stattdessen Schlüsselringdateien direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ ausliefern, da dies eine Abhängigkeit von gnupg vermeidet und es einfacher ist, Schlüssel zu verwalten, indem durch einfaches Hinzufügen und Entfernen von Dateien für Betreuer und Benutzer gleichermaßen

net-update (veraltet)

Führt eine Aktualisierung durch, die ähnlich wie der obige Aktualisierungsbefehl funktioniert, holt aber stattdessen den Archivschlüsselring von einer URI und validiert ihn gegen einen Hauptschlüssel

  • Dies erfordert ein installiertes wget(1) und ein APT-Build, das so konfiguriert ist, dass es einen Server zum Abrufen und einen Master-Schlüsselring zum Überprüfen
  • APT in Debian unterstützt diesen Befehl nicht und verlässt sich stattdessen auf update, aber Ubuntu's

APT von Ubuntu tut dies

Umgebung

Rückgabewert

Anwendungen

Schlüssel austauschen

1. Schlüssel auflisten lassen

apt-key list

2. Alten Schlüssel löschen

apt-key del 95BD4743

3. Neuen Schlüssel importieren

wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg

Manuell importieren

curl https://packages.cisofy.com/keys/cisofy-software-public.key -o /tmp/cisofy-software-public.key ;apt-key add /tmp/cisofy-software-public.key

add

add fügt dem Schlüsselbund einen neuen Schlüssel hinzu. Dieser kann entweder in einer Datei gespeichert sein oder aus dem stdin - einer Weiterleitung der Ausgabe eines vorherigen Befehls - kommen, was dann durch ein - angezeigt wird

# apt-key add DATEI

oder

# apt-key add -

del

del löscht einen vorhanden Schlüssel aus dem Schlüsselbund. Der zu löschende Schlüssel muss mit seiner ID angegeben werden

apt-key del ID

export

export gibt einen Schlüssel, der durch seine ID bezeichnet wird, auf stdout zur Weiterverarbeitung aus

apt-key export ID

exportall

exportall gibt alle derzeit bekannten Schlüssel auf stdout aus

apt-key exportall

list

list zeigt alle im Schlüsselbund vorhandenen Schlüssel mit Namen und ID an. Optional kann ein spezieller Schlüssel mit der ID ID angezeigt werden

apt-key list ID

finger

finger zeigt den Fingerabdruck aller derzeit bekannten Schlüssel auf stdout an

adv

apt-key adv

adv erlaubt die Angabe spezieller Parameter für das im Hintergrund arbeitende GnuPG (gpg). Alle aus gpg bekannten Parameter können angegeben werden. adv benötigt die Angabe der zu verarbeitenden Schlüssel-ID

apt-key adv gpg-option ID

update

update lädt die Signaturschlüssel für die zum jeweiligen Release gehörenden Hauptrepositories neu und löscht abgelaufene Schlüssel aus dem Schlüsselbund

apt-key update

Optionen

apt-key kennt nur eine Option --keyring, mit der ein alternativer Schlüsselbund zur Bearbeitung übergeben werden kann

Konfiguration

Dateien

Datei Beschreibung
/etc/apt/trusted.gpg Schlüsselbund der lokalen vertrauenswürdigen Schlüssel, neue Schlüssel werden hier hinzugefügt
  • Konfigurationspunkt: Dir::Etc::Trusted
/etc/apt/trusted.gpg.d/ Dateifragmente für die vertrauenswürdigen Schlüssel
  • zusätzliche Schlüsselringe können hier gespeichert werden
  • durch andere Pakete oder den Administrator
  • Konfigurationspunkt Dir::Etc::TrustedParts
/etc/apt/keyrings/ Ort zum Speichern zusätzlicher Schlüssel
  • die mit Signed-By verwendet werden sollen


Installation

Anhang

Siehe auch

Dokumentation

Man-Page
  1. APT-KEY(8)

Links

Projekt
Weblinks