Ayuda OnLine de GULiC

Anon1129

Ayuda
  • Temática: Puedes preguntarnos sobre Software Libre, Linux o GULiC. Otros temas pueden ser respondidos (o no!)
  • Acceso: Para mantener tu anonimato, se te ha asignado un nick al azar (Anon1129). Si deseas identificarte, puedes solicitar tu inscripción como socio ó iniciando sesión, si ya lo eres. En cualquier caso, si usas jabber, puedes informarte de cómo entrar a esta sala con tu cliente habitual, o bien entrando vía jwchat.
  • Uso: Para ver el chat más grande, usa ésta página. Si vas a pegar textos grandes, mejor usa nuestro pastebin. Para avisar de errores o problemas, usa nuestro trac.
  • Horarios: Nuestro huso horario es WET. No te extrañe si a las 5 de la mañana no te responde nadie.
  • Foros: Si nadie te responde al momento, deja tu mensaje en nuestro foro de libre acceso después de oir la señal... Beep!
Inicio » Blogs » blog de lagoon

apt 0.6 y firma GPG de los paquetes

Enviado por lagoon el 9 Julio, 2005 - 12:01.

Junto con la última actualización de apt en Debian Unstable han añadido la posibilidad de comprobar si los paquetes que instalas en tu equipo son legítimos. Esto significa que cuando te bajas un .deb, apt comprobará que el autor es quien dice ser y que además nadie lo ha modificado por el camino.

En la práctica lo más probable es que ahora cuando ejecutas apt te devuelva warnings como:

# apt-get update 
Ign http://ftp.fr.debian.org unstable Release.gpg
Des:1 http://www.stanchina.net ./ Release.gpg [189B]
[...]
Leyendo lista de paquetes... Hecho
W: GPG error: http://www.stanchina.net ./ Release: The following signatures couldn't be verified 
because the public key is not available: NO_PUBKEY 3DCCCCACE46F104F
W: GPG error: ftp://ftp.nerim.net unstable Release: The following signatures couldn't be verified
because the public key is not available: NO_PUBKEY 07DC563D1F41B907
W: GPG error: ftp://mirror.aarnet.edu.au unstable Release: The following signatures couldn't be 
verified because the public key is not available: NO_PUBKEY BB5E459A529B8BDA

# apt-get dist-upgrade
[...]
AVISO: ¡No se han podido autenticar los siguientes paquetes!
e2fslibs e2fsprogs findutils grep
¿Instalar estos paquetes sin verificación [s/N]?

Un solución es decirle que sí y los paquetes se instalarán sin mayor problema, pero configurar tu sistema para que compruebe las firmas no es tan complicado:

# apt-get install debian-keyring
# apt-key add /usr/share/keyrings/debian-role-keys.gpg

En este punto ya tienes las claves para los repositorios oficiales de debian, para el resto tendrás que buscar las claves en un keyserver y exportarlas usando apt-key. El id de la clave puedes sacarlo del warning que devuelve apt-get update, por ejemplo:

# gpg --keyserver subkeys.pgp.net --recv-keys 3DCCCCACE46F104F
gpg: directory `/root/.gnupg' created
gpg: creado un nuevo fichero de configuración `/root/.gnupg/gpg.conf'
gpg: AVISO: las opciones en `/root/.gnupg/gpg.conf' no están aún activas en esta ejecución
gpg: anillo `/root/.gnupg/secring.gpg' creado
gpg: anillo `/root/.gnupg/pubring.gpg' creado
gpg: requesting key E46F104F from hkp server subkeys.pgp.net
gpg: /root/.gnupg/trustdb.gpg: se ha creado base de datos de confianza
gpg: key E46F104F: public key "Flavio Stanchina <flavio@stanchina.net>" imported
gpg: no se encuentran claves totalmente fiables
gpg: Cantidad total procesada: 1
gpg:               importadas: 1
# gpg --armor --export 3DCCCCACE46F104F | apt-key add -
gpg: no se encuentran claves totalmente fiables
OK
# apt-key list
/etc/apt/trusted.gpg
--------------------
pub   1024D/38C6029A 2002-12-20 [expired: 2004-01-24)]
uid                  Debian Archive Automatic Signing Key (2003) <ftpmaster@debian.org>

pub   1024D/30B34DD5 2003-12-03 [expired: 2004-01-14)]
uid                  Debian Archive Automatic Signing Key (2003 v2) <ftpmaster@debian.org>

pub   1024R/1DB114E0 2004-01-15 [expired: 2005-01-27)]
uid                  Debian Archive Automatic Signing Key (2004) <ftpmaster@debian.org>

pub   1024D/4F368D5D 2005-01-31 [expires: 2006-01-31]
uid                  Debian Archive Automatic Signing Key (2005) <ftpmaster@debian.org>

pub   1024D/E46F104F 2001-11-19
uid                  Flavio Stanchina <flavio@stanchina.net>
uid                  Flavio Stanchina <flavio.stanchina@tin.it>
sub   1024g/07A5A604 2001-11-19

Solo quedaría repetir el último paso por cada clave no reconocida.

Una curiosidad: apt-key no es más que un script de bash que llama a gpg, este gpg almacena el anillo de claves en /etc/apt/trusted.gpg y no tiene archivos de configuración (todas las opciones se las pasa apt-key en la línea de comandos).

Enlaces
http://www.debian-administration.org/articles/174

Agradecimientos a apt-drink por el soplo inicial sobre el uso de apt-key Smiling

»
Imagen de lcabrera

Gracias por la chuletilla

Enviado por lcabrera el 9 Julio, 2005 - 14:04.

Ya había observado el tema de las firmas en apt, pero no me había puesto a investigar el porqué de ello. Me lo habeis ahorrado Eye-wink

Gracias

Me gusta el Software Libre y su filosofía: por eso uso Debian

»
Imagen de aplatanado

Yo hace unas semanas

Enviado por aplatanado el 11 Julio, 2005 - 10:21.

Muy interesante el artículo.

Yo hace unas semanas instalé una kubuntu y tuve el mismo problema al añadir ftp.nerim.net al sources.list para el tema del DVD, el lame y todo eso.

Lo que pasa es que como mi gpg no estaba configurado para utilizar el proxy de la ULL fui directamente a la página del servidor de claves y me la bajé Smiling. Lo cual también es una solución rápida al problema.

Saludos.


May the Free Software Force be with you…

»

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.