Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)

Общая информация

При использовании сторонних репозиториев пакетов (например, репозиториев пакетов Debian) для проверки корректности содержимого репозитория необходимо установить ключи этого репозитория. Традиционно для установки ключей использовалась команда apt-key, например:

  • загрузка и установка ключа с сервера ключей Ubuntu:

    sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com EF0F382A1A7B6500

  • установка ранее загруженного ключа из файла:

    sudo apt-key add <имя_файла_с_ключом>

Этот способ установки ключей работает и в настоящее время, однако при его использовании в Astra Linux Special Edition x.8 выдается предупреждение о том, что способ устарел:

Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))

Несмотря на широкое распространение, установка ключей вышеуказанным способом не может быть рекомендована к применению, так как все ключи применяются ко всем репозиториям, что может представлять угрозу безопасности.


Далее предлагаются два современных варианта установки ключей, позволяющих исключить предупреждения:

  • Установка ключей для отдельного репозитория — позволяет более точно управлять применением ключей, задавая ключ репозитория в параметрах репозитория. Является наиболее безопасным способом использования ключей. Требует явного указания ключа в параметрах репозитория.
  • Установка ключей для всех репозиториев — позволяет установить ключи, которые будут применяться по умолчанию при работе с любым настроенным репозиторием. Не требует дополнительной настройки параметров репозиториев.
Для справки: все ключи репозиториев Debian доступны по ссылке: https://ftp-master.debian.org/keys.html.

Установка ключей для отдельного репозитория

Индивидуальные ключи репозиториев хранятся в каталоге /etc/apt/keyrings/. Для установки ключа в этот каталог:

  1. Загрузить ключ. Например:

    wget https://ftp-master.debian.org/keys/archive-key-10.asc
    Ключ будет сохранен в текущем каталоге в файле archive-key-10.asc.

  2. Конвертировать сохраненный ключ в таблицу ключей (keyring):

    gpg --no-default-keyring --keyring ./debian-keyring.gpg --import archive-key-10.asc
    Таблица ключей будет сохранена в файле debian-keyring.gpg в текущем каталоге.

  3. Скопировать таблицу ключей в каталог /etc/apt/keyrings/:

    sudo cp debian-keyring.gpg /etc/apt/keyrings/

  4. Модифицировать запись, определяющую параметры репозитория (в файле /etc/apt/sources.list или в файле в каталоге /etc/apt/sources.list.d/), указав с помощью параметра signed-by файл с ключом, применимым к репозиторию. Например, для файла /etc/apt/keyrings/debian-keyring.gpg:

    deb [signed-by=/etc/apt/keyrings/debian-keyring.gpg] http://deb.debian.org/debian buster main contrib non-free


Установка ключей для всех репозиториев

Данный способ установки ключей наиболее прост и широко применяется, но не может быть рекомендован для использования, так как все установленные ключи применяются ко всем репозиториям, что может представлять угрозу безопасности.

Ключи для всех репозиториев хранятся в каталоге /etc/apt/trusted.gpg.d/. При обращении к репозиторию подходящий ключ в этом каталоге ищется автоматически.

Для установки ключа в каталог /etc/apt/trusted.gpg.d/:

  1. Загрузить ключ. Например:

    wget https://ftp-master.debian.org/keys/archive-key-10.asc
    Ключ будет сохранен в текущем каталоге в файле archive-key-10.asc.

  2. Снять сохранить копию ключа со снятой защитой в каталоге /etc/apt/trusted.gpg.d/. Например:

    sudo gpg --dearmor --yes --output /etc/apt/trusted.gpg.d/archive-key-10.gpg archive-key-10.asc
    Параметры команды gpg:
    --yes — перезаписать файл, если он уже существует;
    --dearmor — снять защиту;
    --output — путь к файлу для сохранения копии ключа.

Указанные действия можно выполнить одной командой:

wget https://ftp-master.debian.org/keys/archive-key-10.asc -O - | sudo gpg --dearmor --yes --output /etc/apt/trusted.gpg.d/archive-key-10.gpg