[Debian 9] Problème de GPG après ajout de clé

Z4k1ra · Juin 28, 2017, 9:06am

Hello World

Je suis en alternance dans une entité et nous avons rencontré actuellement un problème sur une machine de test sous Debian 9 Stretch. Cette machine a pour objectif de recevoir des instructions d’Ansible.

J’ai remarqué que l’application des instructions sont biens passées sauf, quand le système doit se mettre à jour (apt-get update) que ce soit par le biais d’Ansible ou en ligne de commande.

Le message d’erreur est le suivant :

root@ma-machine:~# apt-get update -y
Réception de:1 http://mon.entreprise/logiciel squeeze InRelease [7 296 B]
Ign:2 http://ftp.fr.debian.org/debian stretch InRelease                                   
Atteint:3 http://security.debian.org/debian-security stretch/updates InRelease    
Atteint:4 http://ftp.fr.debian.org/debian stretch-updates InRelease
Ign:1 http://mon.entreprise/logiciel squeeze InRelease      
Atteint:5 http://ftp.fr.debian.org/debian stretch Release      
7 296 o réceptionnés en 0s (28,8 ko/s)                         
Lecture des listes de paquets... Fait
W: Erreur de GPG : http://mon.entreprise/logiciel squeeze InRelease : Les signatures suivantes ne sont pas valables : CHIFFRES-DONNES-EN-HEXA(?)
W: The repository 'http://mon.entreprise/logiciel squeeze InRelease' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.

Avec mon tuteur, on arrive pas à trouver la solution à notre problème.

Si vous avez des infos ou des pistes n’hésitez pas à me répondre

Je vous remercie par avance,

Cordialement,

Z4k1ra,

grandtoubab · Juin 28, 2017, 11:22am

Salut
Visiblement le dépôt http://mon.entreprise/logiciel ne fourni pas de clé valable
dans http://mon.entreprise/logiciel pour la release squeeze il devrait y avoir un fichier InRelease bien formaté ce qui ne semble pas le cas

Toutes les explications ici
https://wiki.debian.org/SecureApt

Etre en Squeeze + Stretch c’est du hors-piste

Squeeze n’est plus maintenu

https://wiki.debian.org/fr/LTS

Perso je me contenterai de Stretch dans votre exercice

Z4k1ra · Juin 28, 2017, 11:41am

Salut grandtoubab !

Aaah ouais en effet ce n’est plus du tout supporté depuis un petit moment ! Il faut que j’en informe mon tuteur. Sinon, nous avons une application qui a une dépendance de squeeze au départ. D’où cet hors-piste

Je vais voir cela et je n’hésiterai pas à venir dans ce forum si nous rencontrons des soucis

grandtoubab · Juin 28, 2017, 11:49am

Pour vérifier les clés

sudo apt-key list

Z4k1ra · Juin 28, 2017, 12:31pm

Quand je réalise la commande apt-key list j’obtiens le résultat suivant :

root@ma-machine:~# apt-key list
/etc/apt/trusted.gpg
--------------------
pub   rsa2048 2009-05-12 [SC]
      1407 4727 CD11 A9F6 DBF2  C7B0 4C17 1A28 3F5F D95D
uid           [ unknown] mon-entreprise (Dépôt logiciel) <chaine@mon-entreprise.tld>

/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
      126C 0D24 BD8A 2942 CC7D  F8AC 7638 D044 2B90 D010
uid           [ unknown] Debian Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------------------------
pub   rsa4096 2014-11-21 [SC] [expires: 2022-11-19]
      D211 6914 1CEC D440 F2EB  8DDA 9D6D 8F6B C857 C906
uid           [ unknown] Debian Security Archive Automatic Signing Key (8/jessie) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------------
pub   rsa4096 2013-08-17 [SC] [expires: 2021-08-15]
      75DD C3C4 A499 F1A1 8CB5  F3C8 CBF8 D6FD 518E 17E1
uid           [ unknown] Jessie Stable Release Key <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-stretch-automatic.gpg
-----------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
      E1CF 20DD FFE4 B89E 8026  58F1 E0B1 1894 F66A EC98
uid           [ unknown] Debian Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-security-automatic.gpg
--------------------------------------------------------------------
pub   rsa4096 2017-05-22 [SC] [expires: 2025-05-20]
      6ED6 F5CB 5FA6 FB2F 460A  E88E EDA0 D238 8AE2 2BA9
uid           [ unknown] Debian Security Archive Automatic Signing Key (9/stretch) <ftpmaster@debian.org>
sub   rsa4096 2017-05-22 [S] [expires: 2025-05-20]

/etc/apt/trusted.gpg.d/debian-archive-stretch-stable.gpg
--------------------------------------------------------
pub   rsa4096 2017-05-20 [SC] [expires: 2025-05-18]
      067E 3C45 6BAE 240A CEE8  8F6F EF0F 382A 1A7B 6500
uid           [ unknown] Debian Stable Release Key (9/stretch) <debian-release@lists.debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
----------------------------------------------------------
pub   rsa4096 2012-04-27 [SC] [expires: 2020-04-25]
      A1BD 8E9D 78F7 FE5C 3E65  D8AF 8B48 AD62 4692 5553
uid           [ unknown] Debian Archive Automatic Signing Key (7.0/wheezy) <ftpmaster@debian.org>

/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------------
pub   rsa4096 2012-05-08 [SC] [expires: 2019-05-07]
      ED6D 6527 1AAC F0FF 15D1  2303 6FB2 A1C2 65FF B764
uid           [ unknown] Wheezy Stable Release Key <debian-release@lists.debian.org>

C’est étrange je trouve que nous ayons que des unknown oO

grandtoubab · Juin 28, 2017, 1:20pm

ça ne semble pas etre un problème chez moi elles sont toutes [ inconnue]
l’essentiel est que apt update ne fasse pas d’erreur

a priori l’uid contient 3 champs
.Nom Prénom
.courriel@fai.domaine
.commentaire

mais personne ne rempli le champ Nom Prenom (ils sont timides )
https://docs.abuledu.org/abuledu/mainteneur/creer_une_cle_gpg

gregoryroche0 · Juin 28, 2017, 1:18pm

J’imagine qu’il s’agit du statut de la clé GPG car j’en ai une « expirée ».

grandtoubab · Juin 28, 2017, 1:29pm

le champ uid contient simplement 3 infos
Vous devez donc entrer un nom, une adresse email et un commentaire. Le commentaire étant un champs libre est très pratique pour distinguer vos paires de clefs les unes des autres et visiblement les gens ne veulent pas donner leur nom

expiré c’est relatif à la durée de vie de la clé
https://www.gnupg.org/howtos/fr/GPGMiniHowto-3.html