Cómo verificar las keys de debian?

5 envíos / 0 nuevos
Último envío
#1 Mar, 18/07/2017 - 11:40
sunny
Imagen de sunny
Desconectado/a
se unió: 18/07/17

Cómo verificar las keys de debian?

 

¿cómo se verifican las keys de debian?. Por ejemplo, con un apt-key list me devuelve esta:

 

# apt-key list

/etc/apt/trusted.gpg.d/debian-archive-stretch-automatic.gpg
-----------------------------------------------------------
pub   4096R/F66AEC98 2017-05-22 [caduca: 2025-05-20]
uid                  Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   4096R/B7D453EC 2017-05-22 [caduca: 2025-05-20]

 

¿como puedo ahora usar algún dato de esta llave para verificar que es auténtica en los servidores de Debian?

 

 

 

Mar, 18/07/2017 - 13:38
rockyiii
Imagen de rockyiii
Desconectado/a
administrator
se unió: 11/01/16

Las llaves confiables son administradas con el programa apt-key que se encuentra en el paquete apt. Este programa mantiene un conjunto de llaves públicas GnuPG que son utilizadas para verificar las firmas disponibles en los archivos Release.gpg disponibles en las réplicas. Puede utilizarse para agregar nuevas llaves de forma manual (cuando se necesitan réplicas no oficiales). Generalmente sin embargo, sólo necesitará las llaves oficiales de Debian. Estas llaves se mantienen actualizadas de forma automática por el paquete debian-archive-keyring (que crea los conjuntos de llaves correspondientes en /etc/apt/trusted.gpg.d). Sin embargo, la primera instalación de este paquete requiere cierto cuidado: aún si el paquete está firmado como cualquier otro, no se puede verificar dicha firma. Los administradores cautelosos deberían, por lo tanto, verificar las huellas de las llaves importadas antes de confiar en ellas para instalar nuevos paquetes:

# apt-key fingerprint

https://debian-handbook.info/browse/es-ES/stable/sect.package-authentication.html

Mar, 18/07/2017 - 14:15
onubatux
Imagen de onubatux
Desconectado/a
se unió: 05/05/17

Entonces este error que devuelve apt y esta directamente relacionada con las keys de Debian como se soluciona?

Este es el error que devuelve: W: http://ftp.es.debian.org/debian/dists/testing/InRelease: The key(s) in the keyring /etc/apt/trusted.gpg are ignored as the file is not readable by user '_apt' executing apt-key.

Porque tengo instalado debian-archive-keyring (también lo he reinstalado), por la visto este se soluciona cambiando los permisos al fichero /etc/apt/trusted.gpg. por defecto viene con 600, lo he modificado a 644, (no soluciona el error), he borrado dicho archivo: /etc/apt/trusted.gpg, pero lo soluciona de forma temporal, es decir el primer update bien al segundo vuelve a aparece el error.

 

En esta enlace; https://lists.debian.org/debian-user/2017/03/msg01040.html

se habla de dicho problema, pero tampoco se soluciona.

Algún consejo? alguien sabe como solucionar dicho error?

 

Muchas gracias

 

"Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí."
(Confucio)

http://usuariodebian.blogspot.com

Mar, 18/07/2017 - 16:30 (Responder a #3)
sunny
Imagen de sunny
Desconectado/a
se unió: 18/07/17

rockyiii wrote:

Los administradores cautelosos deberían, por lo tanto, verificar las huellas de las llaves importadas antes de confiar en ellas para instalar nuevos paquetes:

# apt-key fingerprint

https://debian-handbook.info/browse/es-ES/stable/sect.package-authentication.html

eso no responde a mi pregunta.  Precisamente, eso es lo que pregunto.

Se pregunta cómo se pueden verificar esas llaves. Para verificarlas, se supone que en el servidor de de Debian debe existir la llave privada.  Y también es de imaginar que debe  existir alguna manera automatizada para comprobar que las llaves que tenemos en el keyring  son auténticas.

Eso es lo que pregunto.

¿Como se verifican las llaves contra los servidores de Debian?

 

 

 

 

 

 

 

 

 

 

 

 

Mié, 19/07/2017 - 08:17
Panko
Imagen de Panko
Desconectado/a
moderador
se unió: 18/02/16

Podrías poner la salida del comando

ls -al /etc/apt

el user _apt es reciente, no existía antes de... creo que stretch precisamente, y es posible que los permisos que tengas en ese/esos archivo/s no sean los correctos y esto impida que dicho user pueda tener acceso a ellos. El asunto está que de esta forma, se pueda comprobar que el repositorio no haya sido comprometido sin necesidad de ser superusuario/root.

En mi caso, no se me ha presentado ese problema, teniendo los permisos -wr-r--r-- (644), que son escritura/lectura para el propietario (root) y lectura para los demás (grupo y otros).

 

Por otro lado, si te han contestado a tu pregunta, viendo el fingerprint, puedes comprobar tu mismo viendo que la clave existente en el repositorio tiene exactamente el mismo fingerprint que el que ves tu en la que tienes en tu equipo (cosa que hace automáticamente el gestor de paquetes). El error tuyo no tiene que ver con la comprobación en sí, si no que simplemente no puede leer ese archivo al no tener permisos, que seguro son diferentes a los existentes, si los hay, en /et/apt/trusted.gpg.d/

En realidad, hasta donde yo se, no hay un comando que haga lo que tu dices, pero el proceso si estará implementado en apt o dpkg, y básicamente consiste en lo mismo que harías tu, leer el fingerprint de la clave que tu tienes en tu disco duro, y compararlo con el fingerprint de la clave que hay en repositorios.

 

Edit...

Pue vaya, he estado mirando y el usuario _apt no pertenece a ningún grupo, no se porque no puede acceder a dicho archivo si dices que le has cambiado los permisos (no lo había visto, por eso lo he comentado antes) a 644, que debería dar permiso de lectura a cualquiera. Quizás deberías pensar en reportarlo como bug a debian (puedes usar reportbug-ng, que facilita mucho la tarea).

  No hay bar que por bien no venga....