Diskussion:Apt-key

Aus Foxwiki

TMP

NAME

apt-key - Veraltetes APT-Schlüsselverwaltungsprogramm

SYNOPSIS

apt-key [--keyring filename] {add filename | del keyid | export keyid | exportall | list | finger | adv | update | net-update | {-v | --version} | {-h | --help}}

BESCHREIBUNG

apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden

  • Pakete, die mit diesen Schlüsseln authentifiziert wurden diese Schlüssel authentifiziert wurden, werden als vertrauenswürdig angesehen

Die Verwendung von apt-key ist veraltet, mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten, um vorhandene Schlüssel aus dem Hauptschlüsselring Schlüsselbund zu entfernen

  • Wenn eine solche Verwendung von apt-key gewünscht wird, ist die zusätzliche Installation der GNU Privacy Guard Suite (in gnupg verpackt) erforderlich

apt-key(8) wird zuletzt in Debian 12 und Ubuntu 24.04 verfügbar sein

UNTERSTÜTZTE SCHLÜSSELBUNDDATEIEN

apt-key unterstützt nur das binäre OpenPGP-Format (auch bekannt als "GPG key public ring") in Dateien mit der Erweiterung "gpg", nicht das Keybox-Datenbankformat, das in neueren gpg(1)-Versionen als Standard für Schlüsselbunddateien eingeführt wurde

  • Binäre Schlüsselbunddateien, die für mit einer beliebigen apt-Version verwendet werden sollen, sollten daher immer mit gpg --export erstellt werden

Wenn alle Systeme, die den erzeugten Schlüsselring verwenden sollen, mindestens die Version apt >= 1.4 installiert haben, können Sie alternativ das das ASCII-armor-Format mit der Erweiterung "asc" verwenden, das mit gpg --armor --export erzeugt werden kann

KOMMANDOS

add filename (veraltet)

Fügt einen neuen Schlüssel in die Liste der vertrauenswürdigen Schlüssel ein

  • Der Schlüssel wird aus dem Dateinamen gelesen, der mit dem Parameter filename angegeben wurde, oder, wenn der Dateiname ist - von der Standardeingabe

Es ist wichtig, dass manuell über apt-key hinzugefügte Schlüssel auf ihre Zugehörigkeit zum Besitzer der Repositories, für die sie sich ausgeben, überprüft werden für die sie zu sein vorgeben, andernfalls wird die apt-secure(8)-Infrastruktur vollständig unterminiert

Hinweis
Anstatt diesen Befehl zu verwenden, sollte ein Schlüsselbund direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ gelegt werden, mit einem beschreibenden Namen und entweder "gpg" oder "asc" als Dateierweiterung abgelegt werden
del keyid (meist veraltet)

Entfernt einen Schlüssel aus der Liste der vertrauenswürdigen Schlüssel

export keyid (veraltet)

Gibt den Schlüssel keyid auf der Standardausgabe aus

exportall (veraltet)

Gibt alle vertrauenswürdigen Schlüssel auf der Standardausgabe aus

list, finger (veraltet)

Listet vertrauenswürdige Schlüssel mit Fingerabdrücken auf

adv (veraltet)

Übergibt erweiterte Optionen an gpg

  • Mit adv --recv-key können Sie z.B
  • Schlüssel von Schlüsselservern direkt in den vertrauenswürdigen Satz

Schlüssel herunterladen

  • Beachten Sie, dass keine Prüfungen durchgeführt werden, so dass es einfach ist, die apt-secure(8)-Infrastruktur komplett zu untergraben, wenn unvorsichtig verwendet wird
update (veraltet)

Aktualisiert den lokalen Schlüsselbund mit dem Archivschlüsselbund und entfernt aus dem lokalen Schlüsselbund die Archivschlüssel, die nicht mehr gültig sind

  • Der Archiv-Schlüsselring wird im archive-keyring-Paket Ihrer Distribution ausgeliefert, z.B
  • das debian-archive-keyring

Paket in Debian

Beachten Sie, dass eine Distribution diesen Befehl nicht mehr verwenden muss und auch nicht mehr verwenden sollte und stattdessen Schlüsselringdateien direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ ausliefern, da dies eine Abhängigkeit von gnupg vermeidet und es einfacher ist, Schlüssel zu verwalten, indem durch einfaches Hinzufügen und Entfernen von Dateien für Betreuer und Benutzer gleichermaßen

net-update (veraltet)

Führt eine Aktualisierung durch, die ähnlich wie der obige Aktualisierungsbefehl funktioniert, holt aber stattdessen den Archivschlüsselring von einer URI und validiert ihn gegen einen Hauptschlüssel

  • Dies erfordert ein installiertes wget(1) und ein APT-Build, das so konfiguriert ist, dass es einen Server zum Abrufen und einen Master-Schlüsselring zum Überprüfen
  • APT in Debian unterstützt diesen Befehl nicht und verlässt sich stattdessen auf update, aber Ubuntu's

APT von Ubuntu tut dies

OPTIONEN

Beachten Sie, dass die Optionen vor den im vorherigen Abschnitt beschriebenen Befehlen definiert werden müssen

--keyring filename (veraltet) Mit dieser Option ist es möglich, eine bestimmte Schlüsseldatei anzugeben, mit der der Befehl arbeiten soll

  • Die Voreinstellung ist, dass ein Befehl auf die Datei trusted.gpg sowie auf alle Teile im Verzeichnis trusted.gpg.d ausgeführt wird, obwohl trusted.gpg der primäre Schlüsselbund ist, was bedeutet, dass z. B. neue Schlüssel zu diesem hinzugefügt werden

DEPRECATION

Mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten ist die Verwendung von apt-key veraltet

  • Dieser Abschnitt zeigt, wie man die Verwendung von apt-key ersetzt

Wenn Ihre bisherige Verwendung von apt-key add wie folgt aussieht: 

wget -qO- https://myrepo.example/myrepo.asc | sudo apt-key add -

Dann können Sie dies direkt ersetzen durch (beachten Sie jedoch die Empfehlung unten): 

wget -qO- https://myrepo.example/myrepo.asc | sudo tee /etc/apt/trusted.gpg.d/myrepo.asc

Stellen Sie sicher, dass Sie die Erweiterung "asc" für ASCII-gepanzerte Schlüssel und die Erweiterung "gpg" für das binäre OpenPGP-Format verwenden (auch bekannt als bekannt als "GPG key public ring")

  • Das binäre OpenPGP-Format funktioniert für alle apt-Versionen, während das ASCII-gepanzerte Format für apt Version >= 1.4
Empfohlen

Anstatt die Schlüssel im Verzeichnis /etc/apt/trusted.gpg.d abzulegen, können Sie sie auch an einem beliebigen Ort in Ihrem Dateisystem ablegen indem Sie die Option Signed-By in Ihrer sources.list verwenden und auf den Dateinamen des Schlüssels verweisen

  • Siehe sources.list(5) für Details

Seit APT 2.4 wird /etc/apt/keyrings als empfohlener Ort für Schlüssel, die nicht von Paketen verwaltet werden, angegeben

  • Bei Verwendung einer sources.list im Stil von deb822 und mit einer apt-Version >= 2.4 kann die Option Signed-By auch verwendet werden, um den vollständigen ASCII-gepanzerten

Schlüsselbund direkt in die sources.list aufzunehmen, ohne eine zusätzliche Datei

DATEIEN

/etc/apt/trusted.gpg Schlüsselbund der lokalen vertrauenswürdigen Schlüssel, neue Schlüssel werden hier hinzugefügt

  • Konfigurationspunkt: Dir::Etc::Trusted

/etc/apt/trusted.gpg.d/ Dateifragmente für die vertrauenswürdigen Schlüssel, zusätzliche Schlüsselringe können hier gespeichert werden (durch andere Pakete oder den Administrator) Konfigurationspunkt Dir::Etc::TrustedParts

/etc/apt/keyrings/ Ort zum Speichern zusätzlicher Schlüssel, die mit Signed-By verwendet werden sollen

SIEHE ALSO

apt-get(8), apt-secure(8)

Abgerufen von „https://wiki.foxtom.de/index.php?title=Diskussion:Apt-key&oldid=106990