Como a integridade do pacote debian-keyring do Debian pode ser verificada?

1

Eu encontrei uma máquina Debian que, ao tentar atualizar pacotes, lançou o amplamente discutido "erro GPG: link wheezy / updates As seguintes assinaturas não puderam ser verificadas porque a chave pública não está disponível: NO_PUBKEY 8B48AD6246925553 ". Para importar as chaves atuais, o pacote debian-keyring precisa ser instalado.

Mas como as teclas da máquina não são mais válidas, como posso ter certeza de que o conteúdo do pacote não foi adulterado?

    
por jstarek 14.10.2014 / 21:29

1 resposta

2

Se você excluir a adição da chave e usá-la, ainda poderá verificar o MD5 manualmente.

Print the md5sum of the Packages file which is listed in the Release file.
sed -n "s,main/binary-i386/Packages$,,p" ftp.us.debian.org_debian_dists_sid_Release 
# Print the md5sum of the Packages file itself.
md5sum ftp.us.debian.org_debian_dists_sid_main_binary-i386_Packages    

Por fim, verifique a soma de verificação MD5 ou SHA do próprio pacote:

apt-cache show <package_name> | sed -n "s/MD5sum: //p" # Grab the checksum from the APT cache.
md5sum <binary_package_name>.deb                       # Compare it against the binary package's checksum.

Fonte

    
por 14.10.2014 / 21:47

Tags