Apt-key: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Textersetzung - „Exit-Status“ durch „Rückgabewert“ |
||
Zeile 117: | Zeile 117: | ||
=== Umgebungsvariablen === | === Umgebungsvariablen === | ||
=== | === Rückgabewert === | ||
== Anwendungen == | == Anwendungen == |
Version vom 8. September 2024, 10:27 Uhr
apt-key - Veraltetes APT-Schlüsselverwaltungsprogramm
Beschreibung
- APT-Schlüssel verwalten
apt-key wird verwendet, um die Liste der Schlüssel zu verwalten, die von apt zur Authentifizierung von Paketen verwendet werden
- Pakete, die mit diesen Schlüsseln authentifiziert wurden, diese Schlüssel authentifiziert, werden als vertrauenswürdig angesehen
Mit apt-key kann der von apt zur Authentifizierung von Paketen verwendete Schlüsselring verwaltet werden
- Pakete, die mit einem Schlüssel aus dem Schlüsselring authentifiziert wurden, werden als vertrauenswürdig angesehen
apt-key ist veraltet
- Mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten, um vorhandene Schlüssel aus dem Hauptschlüsselring Schlüsselbund zu entfernen
- Wenn eine solche Verwendung von apt-key gewünscht wird, ist die zusätzliche Installation der GNU Privacy Guard Suite (in gnupg verpackt) erforderlich
- apt-key(8) wird zuletzt in Debian 12 und Ubuntu 24.04 verfügbar sein
- Unterstützte Schlüsselbunddateien
apt-key unterstützt nur das binäre OpenPGP-Format (auch bekannt als "GPG key public ring") in Dateien mit der Erweiterung "gpg", nicht das Keybox-Datenbankformat, das in neueren gpg(1)-Versionen als Standard für Schlüsselbunddateien eingeführt wurde
- Binäre Schlüsselbunddateien, die für mit einer beliebigen apt-Version verwendet werden sollen, sollten daher immer mit gpg --export erstellt werden
Wenn alle Systeme, die den erzeugten Schlüsselring verwenden sollen, mindestens die Version apt >= 1.4 installiert haben, können Sie alternativ das ASCII-armor-Format mit der Erweiterung "asc" verwenden, das mit gpg --armor --export erzeugt werden kann
Mit Ausnahme der Verwendung von apt-key del in Betreuer-Skripten ist die Verwendung von apt-key veraltet
apt-key ersetzen
Wenn Ihre bisherige Verwendung von apt-key add wie folgt aussieht:
wget -qO- https://myrepo.example/myrepo.asc | sudo apt-key add -
Dann können Sie dies direkt ersetzen durch (beachten Sie jedoch die Empfehlung unten):
wget -qO- https://myrepo.example/myrepo.asc | sudo tee /etc/apt/trusted.gpg.d/myrepo.asc
Stellen Sie sicher, dass Sie die Erweiterung "asc" für ASCII-gepanzerte Schlüssel und die Erweiterung "gpg" für das binäre OpenPGP-Format verwenden (auch bekannt als bekannt als "GPG key public ring")
- Das binäre OpenPGP-Format funktioniert für alle apt-Versionen, während das ASCII-gepanzerte Format für apt Version >= 1.4
- Empfehlung
- Anstatt die Schlüssel im Verzeichnis /etc/apt/trusted.gpg.d abzulegen, können Sie sie auch an einem beliebigen Ort in Ihrem Dateisystem ablegen indem Sie die Option Signed-By in Ihrer sources.list verwenden und auf den Dateinamen des Schlüssels verweisen
- Siehe sources.list(5) für Details
- Seit APT 2.4 wird /etc/apt/keyrings als empfohlener Ort für Schlüssel, die nicht von Paketen verwaltet werden, angegeben
- Bei Verwendung einer sources.list im Stil von deb822 und mit einer apt-Version >= 2.4 kann die Option Signed-By auch verwendet werden, um den vollständigen ASCII-gepanzerten Schlüsselbund direkt in die sources.list aufzunehmen, ohne eine zusätzliche Datei
Syntax
apt-key [--keyring filename] {add filename | del keyid | export keyid | exportall | list | finger | adv | update | net-update | {-v | --version} | {-h | --help}}
Optionen
Beachten Sie, dass die Optionen vor den im vorherigen Abschnitt beschriebenen Befehlen definiert werden müssen
Option | Beschreibung |
---|---|
--keyring filename (veraltet) | Schlüsseldatei, die bearbeitet werden soll |
- Voreinstellung
- trusted.gpg
- Teile im Verzeichnis trusted.gpg.d
- Primäre Schlüsselbund
- trusted.gpg
- Neue Schlüssle werden z. B. hier hinzugefügt
Parameter
Kommandos
Schlüsselring bearbeiten
add | Schlüssel hinzufügen |
del | Schlüssel löschen |
list | Schlüssel auflisten |
update | Schlüssel aktualisieren |
- add filename (veraltet)
Fügt einen neuen Schlüssel in die Liste der vertrauenswürdigen Schlüssel ein
- Der Schlüssel wird aus dem Dateinamen gelesen, der mit dem Parameter filename angegeben wurde, oder, wenn der
Dateiname ist - von der Standardeingabe
Es ist wichtig, dass manuell über apt-key hinzugefügte Schlüssel auf ihre Zugehörigkeit zum Besitzer der Repositories, für die sie sich ausgeben, überprüft werden für die sie zu sein vorgeben, andernfalls wird die apt-secure(8)-Infrastruktur vollständig unterminiert
Hinweis: Anstatt diesen Befehl zu verwenden, sollte ein Schlüsselbund direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ gelegt werden, mit einem beschreibenden Namen und entweder "gpg" oder "asc" als Dateierweiterung abgelegt werden
- del keyid (meist veraltet)
Entfernt einen Schlüssel aus der Liste der vertrauenswürdigen Schlüssel
- export keyid (veraltet)
Gibt den Schlüssel keyid auf der Standardausgabe aus
- exportall (veraltet)
Gibt alle vertrauenswürdigen Schlüssel auf der Standardausgabe aus
- list, finger (veraltet)
Listet vertrauenswürdige Schlüssel mit Fingerabdrücken auf
- adv (veraltet)
Übergibt erweiterte Optionen an gpg
- Mit adv --recv-key können Sie z.B
- Schlüssel von Schlüsselservern direkt in den vertrauenswürdigen Satz
Schlüssel herunterladen
- Beachten Sie, dass keine Prüfungen durchgeführt werden, so dass es einfach ist, die apt-secure(8)-Infrastruktur komplett zu untergraben, wenn unvorsichtig verwendet wird
- update (veraltet)
Aktualisiert den lokalen Schlüsselbund mit dem Archivschlüsselbund und entfernt aus dem lokalen Schlüsselbund die Archivschlüssel, die nicht mehr gültig sind
- Der Archiv-Schlüsselring wird im archive-keyring-Paket Ihrer Distribution ausgeliefert, z.B
- das debian-archive-keyring Paket in Debian
Beachten Sie, dass eine Distribution diesen Befehl nicht mehr verwenden muss und auch nicht mehr verwenden sollte und stattdessen Schlüsselringdateien direkt in das Verzeichnis /etc/apt/trusted.gpg.d/ ausliefern, da dies eine Abhängigkeit von gnupg vermeidet und es einfacher ist, Schlüssel zu verwalten, indem durch einfaches Hinzufügen und Entfernen von Dateien für Betreuer und Benutzer gleichermaßen
- net-update (veraltet)
Führt eine Aktualisierung durch, die ähnlich wie der obige Aktualisierungsbefehl funktioniert, holt aber stattdessen den Archivschlüsselring von einer URI und validiert ihn gegen einen Hauptschlüssel
- Dies erfordert ein installiertes wget(1) und ein APT-Build, das so konfiguriert ist, dass es einen Server zum Abrufen und einen Master-Schlüsselring zum Überprüfen
- APT in Debian unterstützt diesen Befehl nicht und verlässt sich stattdessen auf update, aber Ubuntu's
APT von Ubuntu tut dies
Umgebungsvariablen
Rückgabewert
Anwendungen
Schlüssel austauschen
1. Schlüssel auflisten lassen
apt-key list
2. Alten Schlüssel löschen
apt-key del 95BD4743
3. Neuen Schlüssel importieren
wget -O /etc/apt/trusted.gpg.d/php.gpg https://packages.sury.org/php/apt.gpg
Manuell importieren
curl https://packages.cisofy.com/keys/cisofy-software-public.key -o /tmp/cisofy-software-public.key ;apt-key add /tmp/cisofy-software-public.key
add
add fügt dem Schlüsselbund einen neuen Schlüssel hinzu. Dieser kann entweder in einer Datei gespeichert sein oder aus dem stdin - einer Weiterleitung der Ausgabe eines vorherigen Befehls - kommen, was dann durch ein - angezeigt wird
# apt-key add DATEI
oder
# apt-key add -
del
del löscht einen vorhanden Schlüssel aus dem Schlüsselbund. Der zu löschende Schlüssel muss mit seiner ID angegeben werden
apt-key del ID
export
export gibt einen Schlüssel, der durch seine ID bezeichnet wird, auf stdout zur Weiterverarbeitung aus
apt-key export ID
exportall
exportall gibt alle derzeit bekannten Schlüssel auf stdout aus
apt-key exportall
list
list zeigt alle im Schlüsselbund vorhandenen Schlüssel mit Namen und ID an. Optional kann ein spezieller Schlüssel mit der ID ID angezeigt werden
apt-key list ID
finger
finger zeigt den Fingerabdruck aller derzeit bekannten Schlüssel auf stdout an
adv
apt-key adv
adv erlaubt die Angabe spezieller Parameter für das im Hintergrund arbeitende GnuPG (gpg). Alle aus gpg bekannten Parameter können angegeben werden. adv benötigt die Angabe der zu verarbeitenden Schlüssel-ID
apt-key adv gpg-option ID
update
update lädt die Signaturschlüssel für die zum jeweiligen Release gehörenden Hauptrepositories neu und löscht abgelaufene Schlüssel aus dem Schlüsselbund
apt-key update
Optionen
apt-key kennt nur eine Option --keyring, mit der ein alternativer Schlüsselbund zur Bearbeitung übergeben werden kann
Konfiguration
Dateien
Datei | Beschreibung |
---|---|
/etc/apt/trusted.gpg | Schlüsselbund der lokalen vertrauenswürdigen Schlüssel, neue Schlüssel werden hier hinzugefügt
|
/etc/apt/trusted.gpg.d/ | Dateifragmente für die vertrauenswürdigen Schlüssel
|
/etc/apt/keyrings/ | Ort zum Speichern zusätzlicher Schlüssel
|
Installation
Anhang
Siehe auch
Dokumentation
Man-Pages
- APT-KEY(8)
Links
Projekt
Weblinks