Lors d’un update d’apt, vous êtes parfois tombé sur un message du type W: GPG error: <url d'un dépot> Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY XXXXXXXX01234567

le sujet a déjà été traité lors d’un changement de clé debian cette année, mais je rassemble ici les infos.

Reprenez les 8 Derniers éléments de la clé (01234567 dans l’exemple) .
ajoutez la clé à votre porteclé personnel depuis un serveur sûr:
Ajout de Ricardo :
commandes à effectuer en tant que root ‘#’ et non avec sudo.

exportez cette clé dans le systême apt:gpg -a --export 01234567 | sudo apt-key add -

et voilà.
réfèrence: debian.org/doc/manuals/secur … -pack-sign
(section 7.4.3.6)

AJOUT DE RICARDO SUR DEMANDE DE GINKGO GILOBA :
Autre méthode possible :
selon fil http://forum.debian-fr.org/viewtopic.php?f=3&t=13947

MattOTop, ils ne disent pas quels ports doit on ouvrir pour accepter la clé du Mit.
J’éspère que ce n’est pas le 445.

je cherche dans la doc, mais je suis derrière un routeur en NAT, et je fais mes imports de clé sans pb.
si tu as un pare feu bien configuré pour accepter les ESTABLISHED,RELATED, ça doit passer AMA.

tant qu’on y est:

MARILLAT (Unofficial Multimedia Packages)

-> ftp://ftp.nerim.net/debian-marillat/faq.html

DEBIAN UNOFFICIAL (Debian unofficial repository)

-> debian-unofficial.org/faq.html

Enjoy 8)

salut
voici ce que je fais
si ma clé est 0123456789ABCDEF

           gpg --recv-key 0123456789ABCDEF

et
gpg -armor --export 0123456789ABCDEF | apt-key add - update

apres 2 ou 3 tentavtives la clé est enregistrée[/code]

Petit rappel, les depôt marillat ont changé d’adresse :

[quote]### MARILLAT (Unofficial Multimedia Packages)
deb debian-multimedia.org sarge main
deb debian-multimedia.org etch main
deb debian-multimedia.org sid main
deb-src debian-multimedia.org sarge main
deb-src debian-multimedia.org etch main
deb-src debian-multimedia.org sid main[/quote]

Pour ajouter une clé suite à un apt-get, puis-je utiliser cette formule ci-bas, même si elle révelle sudo à l’intérieur ? Je suis avec Debian Sid, et non Ubuntu.

exportez cette clé dans le systême apt:
Code:
gpg -a --export 01234567 | sudo apt-key add -

Je pense, si sudo est configuré pour au préalable …
un petit alias peut-être :

[code]$ nano ~/.bash_aliases # edition de ~/.bash_aliases
alias gpgnewkey=‘sudo /usr/local/bin/gpgnewkey’ # ajout d’une ligne
$ su
passwd:

nano /etc/sudoers # edition de /etc/sudoers

-------------------------------------- ajout de 2 lignes : ----------------------------

Cmnd_Alias GPGNEWKEY=/usr/local/bin/gpgnewkey

NOPASSWD:GPGNEWKEY,

nano /.scripts/pgpnewkey.sh # edition d’un script dans un repertoire de scrips

#!/bin/bash

nécessite le paquet fakeroot, est il installé ?

Ajout d’une clé gpg

ERR_PARAM_ABS=67
ERR_PARAM_LEN=68
PARAM_LEN=8
ERR_MESSAGE=“Mentionner les 8 derniers éléments de la clé”

Tests des paramètres

if [ ! -n “$1” ]; then # si aucun paramètre spécifié
echo $ERR_MESSAGE && exit 67 # quitte le script
else
CLE="$1" # receuille la clé
CLE_LEN=${#CLE} # taille de la clé
[ $CLE_LEN -ne 8 ] &&
{ echo “$CLE_LEN chiffres : incorrect, $ERR_MESSAGE”; exit 68; }
fi

Ajout de la clé -------------------------------------------------------------------

fakeroot gpg --keyserver pgpkeys.mit.edu --recv-key $CLE
fakeroot gpg -a --export $CLE | sudo apt-key add -

------------------------------------------------------------------------------------

----------------------------- Quitter le fichier -------------------------------------

chmod 700 /.scripts/gpgnewkey.sh # le rendre exécutable

----------------------------- Créer un lien dans /usr/local/bin ----------------------

ln -s /.scripts/gpgnewkey.sh /usr/local/bin/gpgnewkey

sudo -v # prise en compte des modifs sudo (?)

[/code]
On devrait avoir ça :

[code]# ls -l /.scripts
-rwx------ 1 root root 773 2006-08-15 07:54 gpgnewkey.sh

ls -l /usr/local/bin/

lrwxrwxrwx 1 root staff 22 2006-08-15 08:05 gpgnewkey -> /.scripts/gpgnewkey.sh[/code]
J’ai pas encore tester car j’avais importé la clé avant d’avoir l’idée …
Mais ça semble fonctionner :

jcode@debian:~$ gpgnewkey 1F41B907 gpg: requête de la clé 1F41B907 du serveur hkp pgpkeys.mit.edu gpg: clé 1F41B907: nom d'utilisateur en double détecté - fusion accomplie gpg: clé 1F41B907: « Christian Marillat <marillat@debian.org> » n'a pas changé gpg: Quantité totale traitée: 1 gpg: inchangée: 1 OK

Au fait, comment on retire une clé du trousseau (je suis pas trop sur d’avoir compris dans man) ?

[quote=“usinagaz”]
Au fait, comment on retire une clé du trousseau (je suis pas trop sur d’avoir compris dans man) ?[/quote]

[quote]Usage: apt-key [command] [arguments]

Manage apt’s list of trusted keys

apt-key add - add the key contained in (’-’ for stdin)
apt-key del - remove the key <—
apt-key update - update keys using the keyring package
apt-key list - list keys[/quote]

[quote=“mattotop”]je cherche dans la doc, mais je suis derrière un routeur en NAT, et je fais mes imports de clé sans pb.
si tu as un pare feu bien configuré pour accepter les ESTABLISHED,RELATED, ça doit passer AMA.[/quote]

Il faut jouer sur le port 11371 pour les protocoles udp et tcp.

Le filtrage sur les connexions ESTABLISHED et RELATED n’est pas suffisant pour permettre d’adresser des requêtes aux serveurs hkp, il est impératif d’autoriser les connexions de types NEW à sortir de la machine cliente !

après update, j’ai un problème de signature classique donc je suis le tuto mais voilà la réponse :

ricardo@sid-hda8:~$ sudo gpg --keyserver pgpkeys.mit.edu --recv-key BBE55AB3 gpg: WARNING: unsafe ownership on configuration file `/home/ricardo2/.gnupg/gpg.conf' gpg: external program calls are disabled due to unsafe options file permissions gpg: keyserver communications error: general error gpg: keyserver receive failed: general error ricardo@sid-hda8:~$

Que dois-je faire car je ne comprends pas où est l’erreur

Une option dans ton gpg.conf qui doit pas aimer. Un contournement simple serais de renomer le fichier le temps de ta commande.

Salut,

Essaie sans sudo, l’erreur indique un problème de propriétaire lorsque tu passe par sudo tu es root or ton gpg.conf est le tien pas celui de root.

quote="thialme"
Le filtrage sur les connexions ESTABLISHED et RELATED n’est pas suffisant pour permettre d’adresser des requêtes aux serveurs hkp, il est impératif d’autoriser les connexions de types NEW à sortir de la machine cliente ![/quote]J’ajoute qu’il faut être parano pour filtrer l’output, et que donc je ne filtre jamais ce qui sort.

[quote=“ricardo”]après update, j’ai un problème de signature classique donc je suis le tuto mais voilà la réponse :

ricardo@sid-hda8:~$ sudo gpg --keyserver pgpkeys.mit.edu --recv-key BBE55AB3 gpg: WARNING: unsafe ownership on configuration file `/home/ricardo2/.gnupg/gpg.conf' gpg: external program calls are disabled due to unsafe options file permissions gpg: keyserver communications error: general error gpg: keyserver receive failed: general error ricardo@sid-hda8:~$

Que dois-je faire car je ne comprends pas où est l’erreur [/quote]regardes le proprio de /home/ricardo2/.gnupg/gpg.conf , ça doit être root, fais un chown ricardo2.ricardo2 /home/ricardo2/.gnupg/gpg.conf en root.

[quote=“yoshi”]Salut,

Essaie sans sudo, l’erreur indique un problème de propriétaire lorsque tu passe par sudo tu es root or ton gpg.conf est le tien pas celui de root.[/quote]En effet Yoshi, je n’avais pas pensé à essayer sous root et c’est bien ça, avec # ça fonctionne parfaitement. Merci
Matt, il serait ptet intéressant de préciser ds ton tuto d’employer # et non sudo.
En effet, ricardo est ‘invalide’

Ca fonctionne trés bien tel que je l’ai écrit avec sudo. Si ça ne fonctionne pas chez toi, c’est que ton fichier de clé du compte ricardo2 ne doit plus appartenir à ricardo2.
La manip passe par integration de la cle au trousseau de l’user, alors quand tu es en su tu utilises le trousseau de root, mais si ton fichier etait accessible, la manip devrait passer par le trousseau de ricardo2 sans problême.
Le seul endroit ou on ait vraiment besoin d’être root, c’est à la fin au moment d’intègrer la clé au trousseau apt de la machine avec apt-key add -

Salut,

La formule qui a marché chez moi :

[code]sudo gpg --keyserver pgpkeys.mit.edu --recv-key 01234567

sudo gpg -a --export 01234567 | sudo apt-key add -[/code]

J’avoue donc ma paranoia

Cela peut éviter que quelqu’utilise une machine pour faire autre chose que ce dont à quoi elle sert, voir aussi d’éviter les backdoors.

J’avoue donc ma paranoia

Cela peut éviter que quelqu’utilise une machine pour faire autre chose que ce dont à quoi elle sert, voir aussi d’éviter les backdoors.[/quote]C’est quoi un backdoor ?