Aptidão Fonte não confiável, gpg, keyserver

6

Eu espelhei o repositório de arquivos do Ubuntu (devo dizer que é bastante grande). Então, posso instalar o apt-get sem problemas, mas ele avisa com o seguinte aviso:

WARNING: The following packages cannot be authenticated!
  xxxx, xxxx, ...
Install these packages without verification [y/N]? 

Bem, você sempre pode instalá-lo.

Mas, não consigo instalar a partir da interface gráfica do software do Ubuntu. Quais exigem fonte confiável.

Então,

  1. Como forçar a GUI a instalar um pacote não confiável?
  2. Devo configurar o GPG para receber algumas chaves públicas? (Eu já instalei o ubuntu-keyring, o debian-keyring, mas ele ainda não é confiável)
  3. Devo configurar o GPG para receber chaves desconhecidas de alguns servidores de chaves específicos, automaticamente?
por Xiè Jìléi 10.06.2010 / 14:26

3 respostas

1

O problema pode ser que você não tem a chave do repositório no seu keyring apt, como Badger diz, mas eu acho que isso é improvável. Se realmente é um espelho do repositório do Ubuntu, então ele estará usando a mesma chave, e você já deve ter as chaves necessárias. (Eu suponho que você não recebe este erro quando você usa um dos espelhos padrão.)

Isso significa que seu espelho provavelmente não está assinado corretamente, o que pode ser porque você não o espelhou da maneira correta. Há uma sequência específica que você precisa usar para evitar uma cópia inconsistente se uma atualização de repositório ocorrer enquanto você está copiando. Dado o tempo que demora, isso é bastante provável, especialmente na cópia inicial, em vez de uma atualização. A página da web Espelhamento por push da Debian explica como fazê-lo com ferramentas do dia a dia, como rsync , mas ainda é melhor usar uma ferramenta dedicada como apt-mirror .

A maneira como a assinatura do repo funciona é que há um arquivo Release de nível superior no diretório dist (por exemplo, dists/lucid ) que é assinado ( Release.gpg ). Isso contém hashes de todos os outros arquivos de índice (por exemplo, main/binary-i386/Packages ), que por sua vez contêm hashes do próprio arquivo de pacote. Portanto, se algum dos hashes estiver desatualizado, toda a verificação de recompra falhará. O Debian Secure Apt explica os detalhes.

    
por 03.07.2010 / 07:03
2

Você pode querer ver este site: link

Quando você atualiza, pode receber algo assim:

W: GPG error: file: edgy-plf Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY F120156012B83718
W: GPG error: file: edgy Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 31A5F97FED8A569E
W: GPG error: file: edgy Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 18B52FE3521A9C7C

Você deseja usar essas chaves e fazer isso para cada uma delas:

sudo gpg --keyserver subkeys.pgp.net --recv F120156012B83718
sudo gpg --export --armor F120156012B83718 | sudo apt-key add -

Eu apenas folheei o artigo, mas tenho quase certeza de que isso é o que você precisa

    
por 25.06.2010 / 19:44
0

Você também pode considerar o uso de um proxy de ajuste de cache (por exemplo, approx ) em vez de um espelho completo. Isso recupera os pacotes conforme necessário e os salva para reutilização futura, na mesma máquina ou em outra diferente. É raro que alguém realmente precise de um espelho completo, e é preciso muita largura de banda para mantê-lo atualizado, a maioria dos quais será para pacotes que você nunca utilizará.

    
por 03.07.2010 / 07:06