staging.inyokaproject.org

noisefloor schrieb:

Hallo,

also jedenfalls

Der Ordner /etc/apt/keyrings/ ist der einzig vernünftige Ort zu Ablage von Schlüsseln von Fremdquellen und nur dieser wird daher in diesem Artikel weiter betrachtet.

deb [signed-by=/etc/apt/keyrings/schluessel.gpg] http://example.org/linux/deb/ stable main

funktioniert das einwandfrei. Habe ich neulich für eine Fremdquelle unter 22.04 so gemacht.

Natürlich funktioniert das. Die Frage ist nur, wie man das Drumrum am besten macht, gerade im Hinblick auf gpg.

Hallo,

Die Frage ist nur, wie man das Drumrum am besten macht, gerade im Hinblick auf gpg.

? - was meinst du damit? Um den Artikel praktisch umzusetzen braucht man zwei Sachen: arbeiten mit Root-Rechten (um die Schlüsseldatei ins Verzeichnis zu kopieren) und einen Editor mit Root-Rechten bedienen, um die Datei in /etc/apt/sources.list.d/ anzulegen bzw. zu editieren.

Gruß, noisefloor

Nein, man brauch ggf. mehr, siehe den dearmor-Kram von gpg. Hier hat kb meinen Artikel (zurecht?) kritisiert und die Baustelle aufgemacht.

Und bei kB steht jetzt wieder diese Baustelle an erster Stelle.

Hallo Ihr Lieben,

Ich finde die 6 Punkte unter Grundlagen sehr gut gemacht ... Hut ab.

Dem darauffolgenden Satz (tolles Ergebnis meiner früheren (Überzeugungs)Mühen 😉 )

Der Ordner /etc/apt/keyrings/ ist der einzig vernünftige Ort zu Ablage von Schlüsseln von Fremdquellen ...

könnte man vielleicht noch "Fazit: " voranstellen.

müssen die Besitzverhältnisse und Dateiberechtigungen geregelt werden

Das klingt so nach einer Aufgabe, die man immer noch zusätzlich machen muss. Aber wenn man die Schlüssel so anlegt, wie überall vorgeschlagen, gibt es doch gar nichts mehr zu tun.

Um zu verstehen, was der dann folgende Befehl deutlich machen soll (z.B. wozu die geschweifte Klammer), musste ich mehrfach durch meine Gehirnwindungen. Vielleicht einfacher (dann gibt's auch keine Fehlermeldung mehr) so:

$ ls -l /etc/apt/trusted.gpg /etc/apt/trusted.gpg.d/ /etc/apt/keyrings/   ##   auch die Option -a kann weg

oder besser erläutern, oder eher gleich weglassen. Das frisst nur Energie ohne besonderen Nährwert.
Ich fände es an der Stelle auch besser, Befehl und Ergebnis in einen Block zu setzen, denn es geht ja um eine Verdeutlichung, und nicht um einen Befehl, den man ausführen soll. Vor den Befehl dann ein '$' setzen.

Als Beispiel für dem Umgang mit Schlüsseln von Fremdquellen wird hier das Repositorium von Mozilla verwendet.

Das fehlt wohl noch.

UlfZibis schrieb:

Deshalb möchte ich vorschlagen, in den Artikel eine Anleitung aufzunehmen, wie man falsch abgelegte Schlüssel an die richtige Stelle bugsiert. Für Skype sieht das z.B. so aus (erst mal den Fingerprint kontrollieren):

apt-key finger  ## In der Ausgabe nach dem Schlüssel für Skype suchen.
sudo apt-key -o /etc/apt/keyrings/skype-archive.asc export "D404 0146 BE39 7250 9FD5  7FC7 1F30 45A5 DF75 87C3"
echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.asc] https://repo.skype.com/deb stable main" | sudo tee /etc/apt/sources.list.d/skype-stable.list
sudo apt-key --keyring /etc/apt/trusted.gpg del "D404 0146 BE39 7250 9FD5  7FC7 1F30 45A5 DF75 87C3" 

Wenn man es ganz toll machen will, kann man den Schlüssel vorher auch noch "entwaffnen" mit:

sudo -H gpg --dearmor -o /etc/apt/keyrings/skype-archive.gpg /etc/apt/keyrings/skype-archive.asc
sudo rm /etc/apt/keyrings/skype-archive.asc 

... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden.

Hier ist ein Fehler drin. Die Korrektur ist durch Aufteilung nun dort zu finden.

UlfZibis schrieb:

UlfZibis schrieb:

Deshalb möchte ich vorschlagen, in den Artikel eine Anleitung aufzunehmen, wie man falsch abgelegte Schlüssel an die richtige Stelle bugsiert.

Die Anleitung wäre trivial für alle Leute, die bereit sind, ihr Hirn einzuschalten:

• Wenn man etwas falsch gemacht hat, löscht man das unbrauchbare Ergebnis.

• Man macht es noch einmal, diesmal richtig.

Ich glaube aber, vernünftige Wiki-Leser benötigen dieses Rezept nicht.

Für Skype sieht das z.B. so aus (erst mal den Fingerprint kontrollieren):

> apt-key finger  ## In der Ausgabe nach dem Schlüssel für Skype suchen.
> sudo apt-key -o /etc/apt/keyrings/skype-archive.asc export "D404 0146 BE39 7250 9FD5  7FC7 1F30 45A5 DF75 87C3"
> echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.asc] https://repo.skype.com/deb stable main" | sudo tee /etc/apt/sources.list.d/skype-stable.list
> sudo apt-key --keyring /etc/apt/trusted.gpg del "D404 0146 BE39 7250 9FD5  7FC7 1F30 45A5 DF75 87C3"
>  

Wenn man es ganz toll machen will, kann man den Schlüssel vorher auch noch "entwaffnen" mit:

> sudo -H gpg --dearmor -o /etc/apt/keyrings/skype-archive.gpg /etc/apt/keyrings/skype-archive.asc
> sudo rm /etc/apt/keyrings/skype-archive.asc
>  

... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden. Hier ist ein Fehler drin.

Ein Fehler? Ich sehe 5. Genauer: Im ersten Block kann nur die dritte Zeile eventuell richtig sein und im zweiten Block ist die zweite Zeile zwar nicht per se falsch, vernichtet aber alles, was man vorher eventuell richtig gemacht haben könnte. Vielleicht habe ich weitere Fehler übersehen.

kB schrieb:

Die Anleitung wäre trivial für alle Leute, die bereit sind, ihr Hirn einzuschalten:

Aha!
Unter der Logik ist das Wiki UU.de also überflüssig.

Ein Fehler? Ich sehe 5. Genauer: Im ersten Block kann nur die dritte Zeile eventuell richtig sein

Wo sind denn die 4 anderen Fehler?

Du meinst also, dass das Entfernen eines Fremdschlüssels, hier von M$, aus /etc/apt/trusted.gpg ein Fehler ist, obwohl genau darüber sich die apt update-Warnung beschwert.