Хаки и трюки
Виртуалки
Сисьадминство
BASH-скрипты
Парусные суда
Праздники
Моё чтиво
Игра KSPКоманда Devuan просрочила ключ подписи репозиториев
Ключ, которым подписываются все системные обновления, выпущенный в 2017 году, был действителен до 2 сентября 2022 года. Сегодня пользователи дистрибутива столкнулись с невозможностью штатного обновления системы через apt в связи с отсутствием действительного ключа. Разработчики дистрибутива, судя по всему, узнали о просрочке из жалобы на форуме и сгенерировали новый пакет devuan-keyring, который предлагают скачать через http (поскольку apt неработоспособен) и без каких-либо проверок сразу установить.
Показать
wget http://deb.devuan.org/devuan/pool/main/d/devuan-keyring/devuan-keyring_2022.09.04_all.deb dpkg -i devuan-keyring_2022.09.04_all.deb
Впрочем, какую-никакую проверку провести всё-таки можно, на странице пакета (по https) указан sha256-хэш deb-файла: 96c4a206e8dfdc21138ec619687ef9acf36e1524dd39190c040164f37cc3468d, который перед тем как запускать dpkg можно сравнить так:
sha256sum devuan-keyring_2022.09.04_all.deb
Старый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2017-archive.gpg ------------------------------------------------------ pub rsa4096 2017-09-04 [SC] [просрочен с: 2022-09-03] E032 601B 7CA1 0BC3 EA53 FA81 BB23 C00C 61FC 752C uid [ просрочен ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org>
Новый ключ:
/etc/apt/trusted.gpg.d/devuan-keyring-2022-archive.gpg ------------------------------------------------------ pub rsa4096 2017-09-04 [SC] [ годен до: 2023-09-03] E032 601B 7CA1 0BC3 EA53 FA81 BB23 C00C 61FC 752C uid [ неизвестно ] Devuan Repository (Amprolla3 on Nemesis) <repository@devuan.org> sub rsa4096 2017-09-04 [E] [ годен до: 2023-09-03]
Несмотря на то, что, по-видимому, новый ключ легитимен, стоит отметить, что цепочка безопасного доверия ключей прервана, и пользователи вынуждены, при обновлении пакета, полагаться на https-сертификат сайта с информацией о пакетах, который может выпустить (поддельный) любая из огромного количества организаций, в том числе сомнительных, в доверенном списке браузера.
Источники:
https://dev1galaxy.org/viewtopic.php?id=5211
https://www.linux.org.ru/news/security/16964008