Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
Общая информация
При использовании сторонних репозиториев пакетов (например, репозиториев пакетов Debian) для проверки корректности содержимого репозитория необходимо установить ключи этого репозитория. Традиционно для установки ключей использовалась команда apt-key
, например:
загрузка и установка ключа с сервера ключей Ubuntu:
sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com EF0F382A1A7B6500установка ранее загруженного ключа из файла:
sudo apt-key add <имя_файла_с_ключом>
Этот способ установки ключей работает и в настоящее время, однако при его использовании в Astra Linux Special Edition x.8 выдается предупреждение о том, что способ устарел:
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))
Несмотря на широкое распространение, установка ключей вышеуказанным способом не может быть рекомендована к применению, так как все ключи применяются ко всем репозиториям, что может представлять угрозу безопасности.
Далее предлагаются два современных варианта установки ключей, позволяющих исключить предупреждения:
- Установка ключей для отдельного репозитория — позволяет более точно управлять применением ключей, задавая ключ репозитория в параметрах репозитория. Является наиболее безопасным способом использования ключей. Требует явного указания ключа в параметрах репозитория.
- Установка ключей для всех репозиториев — позволяет установить ключи, которые будут применяться по умолчанию при работе с любым настроенным репозиторием. Не требует дополнительной настройки параметров репозиториев.
Установка ключей для отдельного репозитория
Индивидуальные ключи репозиториев хранятся в каталоге /etc/apt/keyrings/
. Для установки ключа в этот каталог:
Загрузить ключ. Например:
wget https://ftp-master.debian.org/keys/archive-key-10.ascКлюч будет сохранен в текущем каталоге в файлеarchive-key-10.asc
.Конвертировать сохраненный ключ в таблицу ключей (keyring):
gpg --no-default-keyring --keyring ./debian-keyring.gpg --import archive-key-10.ascТаблица ключей будет сохранена в файлеdebian-keyring.gpg
в текущем каталоге.Скопировать таблицу ключей в каталог
/etc/apt/keyrings/
:sudo cp debian-keyring.gpg /etc/apt/keyrings/Модифицировать запись, определяющую параметры репозитория (в файле
/etc/apt/sources.list
или в файле в каталоге/etc/apt/sources.list.d/
), указав с помощью параметраsigned-by
файл с ключом, применимым к репозиторию. Например, для файла/etc/apt/keyrings/debian-keyring.gpg
:deb [signed-by=/etc/apt/keyrings/debian-keyring.gpg] http://deb.debian.org/debian buster main contrib non-free
Установка ключей для всех репозиториев
Данный способ установки ключей наиболее прост и широко применяется, но не может быть рекомендован для использования, так как все установленные ключи применяются ко всем репозиториям, что может представлять угрозу безопасности.
Ключи для всех репозиториев хранятся в каталоге /etc/apt/trusted.gpg.d/
. При обращении к репозиторию подходящий ключ в этом каталоге ищется автоматически.
Для установки ключа в каталог /etc/apt/trusted.gpg.d/
:
Загрузить ключ. Например:
wget https://ftp-master.debian.org/keys/archive-key-10.ascКлюч будет сохранен в текущем каталоге в файлеarchive-key-10.asc
.Снять сохранить копию ключа со снятой защитой в каталоге
/etc/apt/trusted.gpg.d/
. Например:sudo gpg --dearmor --yes --output /etc/apt/trusted.gpg.d/archive-key-10.gpg archive-key-10.ascПараметры командыgpg
:
--yes — перезаписать файл, если он уже существует;
--dearmor — снять защиту;
--output — путь к файлу для сохранения копии ключа.
Указанные действия можно выполнить одной командой: