erreur lors d'un update: NO_PUBKEY

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

Lors d'un update d'apt, vous êtes parfois tombé sur un message du type

Code:

W: GPG error: <url d'un dépot> Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY XXXXXXXX01234567

le sujet a déjà été traité lors d'un changement de clé debian cette année, mais je rassemble ici les infos.

Reprenez les 8 Derniers éléments de la clé (01234567 dans l'exemple) .
ajoutez la clé à votre porteclé personnel depuis un serveur sûr:
Ajout de Ricardo :
commandes à effectuer en tant que root '#' et non avec sudo.

Code:

gpg --keyserver pgpkeys.mit.edu --recv-key 01234567

exportez cette clé dans le systême apt:

Code:

gpg -a --export 01234567 | sudo apt-key add -

et voilà.
réfèrence: http://www.debian.org/doc/manuals/secur ... -pack-sign
(section 7.4.3.6)

AJOUT DE RICARDO SUR DEMANDE DE GINKGO GILOBA :
Autre méthode possible :
selon fil http://forum.debian-fr.org/viewtopic.php?f=3&t=13947

Code:

Installer le paquet debian-multimedia-keyring puis refaire l'update.

Damsss · **Inscrit le:** 01 Nov 2005 00:02 **Messages:** 661

MattOTop, ils ne disent pas quels ports doit on ouvrir pour accepter la clé du Mit.
J'éspère que ce n'est pas le 445.

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

je cherche dans la doc, mais je suis derrière un routeur en NAT, et je fais mes imports de clé sans pb.
si tu as un pare feu bien configuré pour accepter les ESTABLISHED,RELATED, ça doit passer AMA.

ghostintheshell · **Inscrit le:** 28 Sep 2005 15:04 **Messages:** 1768

tant qu'on y est:

### MARILLAT (Unofficial Multimedia Packages)
-> ftp://ftp.nerim.net/debian-marillat/faq.html

### DEBIAN UNOFFICIAL (Debian unofficial repository)
-> http://www.debian-unofficial.org/faq.html

Enjoy

cherif1969 · **Inscrit le:** 18 Fév 2006 09:18 **Messages:** 380

salut
voici ce que je fais
si ma clé est 0123456789ABCDEF

gpg --recv-key 0123456789ABCDEF
et
gpg -armor --export 0123456789ABCDEF | apt-key add - update

apres 2 ou 3 tentavtives la clé est enregistrée[/code]

usinagaz · **Inscrit le:** 01 Fév 2006 19:11 **Messages:** 3908

Petit rappel, les depôt marillat ont changé d'adresse :

Citer:

### MARILLAT (Unofficial Multimedia Packages)
deb http://www.debian-multimedia.org sarge main
deb http://www.debian-multimedia.org etch main
deb http://www.debian-multimedia.org sid main
deb-src http://www.debian-multimedia.org sarge main
deb-src http://www.debian-multimedia.org etch main
deb-src http://www.debian-multimedia.org sid main

linuxgaspesie · **Inscrit le:** 26 Fév 2006 18:01 **Messages:** 49

Pour ajouter une clé suite à un apt-get, puis-je utiliser cette formule ci-bas, même si elle révelle sudo à l'intérieur ? Je suis avec Debian Sid, et non Ubuntu.

exportez cette clé dans le systême apt:
Code:
gpg -a --export 01234567 | sudo apt-key add -

usinagaz · **Inscrit le:** 01 Fév 2006 19:11 **Messages:** 3908

Je pense, si sudo est configuré pour au préalable ...
un petit alias peut-être :

Code:

$ nano ~/.bash_aliases # edition de  ~/.bash_aliases
alias gpgnewkey='sudo /usr/local/bin/gpgnewkey' # ajout d'une ligne
$ su
passwd:
# nano /etc/sudoers # edition de  /etc/sudoers
-------------------------------------- ajout de 2 lignes : ----------------------------
---------------------------------------------------------------------------------------
Cmnd_Alias      GPGNEWKEY=/usr/local/bin/gpgnewkey
---------------------------------------------------------------------------------------
NOPASSWD:GPGNEWKEY,
---------------------------------------------------------------------------------------
# nano /.scripts/pgpnewkey.sh # edition d'un script dans un repertoire de scrips
---------------------------------------------------------------------------------------
---------------------------------------------------------------------------------------
#!/bin/bash
# nécessite le paquet fakeroot, est il installé ?
# Ajout d'une clé gpg 
ERR_PARAM_ABS=67
ERR_PARAM_LEN=68
PARAM_LEN=8
ERR_MESSAGE="Mentionner les 8 derniers éléments de la clé"
# Tests des paramètres 
if [ ! -n "$1" ]; then                  # si aucun paramètre spécifié
  echo $ERR_MESSAGE && exit 67          # quitte le script
else
  CLE="$1"                              # receuille la clé
  CLE_LEN=${#CLE}                       # taille de la clé
  [ $CLE_LEN -ne 8 ] &&
    { echo "$CLE_LEN chiffres : incorrect, $ERR_MESSAGE"; exit 68; }
fi
#  Ajout de la clé -------------------------------------------------------------------
fakeroot gpg --keyserver pgpkeys.mit.edu --recv-key $CLE
fakeroot gpg -a --export $CLE | sudo apt-key add -
# ------------------------------------------------------------------------------------
----------------------------- Quitter le fichier ------------------------------------- 
# chmod 700 /.scripts/gpgnewkey.sh # le rendre exécutable
----------------------------- Créer un lien dans /usr/local/bin ----------------------
# ln -s /.scripts/gpgnewkey.sh /usr/local/bin/gpgnewkey
# sudo -v    # prise en compte des modifs sudo (?)

On devrait avoir ça :

Code:

# ls -l /.scripts
-rwx------ 1 root root  773 2006-08-15 07:54 gpgnewkey.sh
# ls -l /usr/local/bin/
lrwxrwxrwx 1 root  staff      22 2006-08-15 08:05 gpgnewkey -> /.scripts/gpgnewkey.sh

J'ai pas encore tester car j'avais importé la clé avant d'avoir l'idée ...
Mais ça semble fonctionner :

Code:

jcode@debian:~$ gpgnewkey 1F41B907
gpg: requête de la clé 1F41B907 du serveur hkp pgpkeys.mit.edu
gpg: clé 1F41B907: nom d'utilisateur en double détecté - fusion accomplie
gpg: clé 1F41B907: « Christian Marillat <marillat@debian.org> » n'a pas changé
gpg:        Quantité totale traitée: 1
gpg:                      inchangée: 1
OK

Au fait, comment on retire une clé du trousseau (je suis pas trop sur d'avoir compris dans man) ?

BorisTheButcher · **Inscrit le:** 31 Mars 2006 17:59 **Messages:** 1171

usinagaz a écrit:

Au fait, comment on retire une clé du trousseau (je suis pas trop sur d'avoir compris dans man) ?

Citer:

Usage: apt-key [command] [arguments]

Manage apt's list of trusted keys

apt-key add <file> - add the key contained in <file> ('-' for stdin)
apt-key del <keyid> - remove the key <keyid> <---
apt-key update - update keys using the keyring package
apt-key list - list keys

thialme · **Inscrit le:** 10 Juin 2007 21:34 **Messages:** 681

mattotop a écrit:

je cherche dans la doc, mais je suis derrière un routeur en NAT, et je fais mes imports de clé sans pb.
si tu as un pare feu bien configuré pour accepter les ESTABLISHED,RELATED, ça doit passer AMA.

Il faut jouer sur le port 11371 pour les protocoles udp et tcp.

Le filtrage sur les connexions ESTABLISHED et RELATED n'est pas suffisant pour permettre d'adresser des requêtes aux serveurs hkp, il est impératif d'autoriser les connexions de types NEW à sortir de la machine cliente !

ricardo · **Inscrit le:** 15 Oct 2004 01:13 **Messages:** 13673 **Localisation:** Dordogne

après update, j'ai un problème de signature classique donc je suis le tuto mais voilà la réponse :

Code:

ricardo@sid-hda8:~$ sudo gpg --keyserver pgpkeys.mit.edu --recv-key BBE55AB3
gpg: WARNING: unsafe ownership on configuration file `/home/ricardo2/.gnupg/gpg.conf'
gpg: external program calls are disabled due to unsafe options file permissions
gpg: keyserver communications error: general error
gpg: keyserver receive failed: general error
ricardo@sid-hda8:~$

Que dois-je faire car je ne comprends pas où est l'erreur :?:

Yoko · **Inscrit le:** 26 Déc 2006 23:45 **Messages:** 511

Une option dans ton gpg.conf qui doit pas aimer. Un contournement simple serais de renomer le fichier le temps de ta commande.

yoshi

Salut,

Essaie sans sudo, l'erreur indique un problème de propriétaire lorsque tu passe par sudo tu es root or ton gpg.conf est le tien pas celui de root.

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

thialme a écrit:

(...)
Le filtrage sur les connexions ESTABLISHED et RELATED n'est pas suffisant pour permettre d'adresser des requêtes aux serveurs hkp, il est impératif d'autoriser les connexions de types NEW à sortir de la machine cliente !

J'ajoute qu'il faut être parano pour filtrer l'output, et que donc je ne filtre jamais ce qui sort.

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

ricardo a écrit:

après update, j'ai un problème de signature classique donc je suis le tuto mais voilà la réponse :

Code:

ricardo@sid-hda8:~$ sudo gpg --keyserver pgpkeys.mit.edu --recv-key BBE55AB3
gpg: WARNING: unsafe ownership on configuration file `/home/ricardo2/.gnupg/gpg.conf'
gpg: external program calls are disabled due to unsafe options file permissions
gpg: keyserver communications error: general error
gpg: keyserver receive failed: general error
ricardo@sid-hda8:~$

Que dois-je faire car je ne comprends pas où est l'erreur :?:

regardes le proprio de /home/ricardo2/.gnupg/gpg.conf , ça doit être root, fais un chown ricardo2.ricardo2 /home/ricardo2/.gnupg/gpg.conf en root.

ricardo · **Inscrit le:** 15 Oct 2004 01:13 **Messages:** 13673 **Localisation:** Dordogne

yoshi a écrit:

Salut,

Essaie sans sudo, l'erreur indique un problème de propriétaire lorsque tu passe par sudo tu es root or ton gpg.conf est le tien pas celui de root.

En effet Yoshi, je n'avais pas pensé à essayer sous root et c'est bien ça, avec # ça fonctionne parfaitement. Merci
Matt, il serait ptet intéressant de préciser ds ton tuto d'employer # et non sudo.
En effet, ricardo est 'invalide' :roll:

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

Ca fonctionne trés bien tel que je l'ai écrit avec sudo. Si ça ne fonctionne pas chez toi, c'est que ton fichier de clé du compte ricardo2 ne doit plus appartenir à ricardo2.
La manip passe par integration de la cle au trousseau de l'user, alors quand tu es en su tu utilises le trousseau de root, mais si ton fichier etait accessible, la manip devrait passer par le trousseau de ricardo2 sans problême.
Le seul endroit ou on ait vraiment besoin d'être root, c'est à la fin au moment d'intègrer la clé au trousseau apt de la machine avec apt-key add -

ggoodluck47

Salut,

La formule qui a marché chez moi :

Code:

sudo gpg --keyserver pgpkeys.mit.edu --recv-key 01234567

sudo gpg -a --export 01234567 | sudo apt-key add -

thialme · **Inscrit le:** 10 Juin 2007 21:34 **Messages:** 681

mattotop a écrit:

J'ajoute qu'il faut être parano pour filtrer l'output, et que donc je ne filtre jamais ce qui sort.

J'avoue donc ma paranoia

Cela peut éviter que quelqu'utilise une machine pour faire autre chose que ce dont à quoi elle sert, voir aussi d'éviter les backdoors.

ricardo · **Inscrit le:** 15 Oct 2004 01:13 **Messages:** 13673 **Localisation:** Dordogne

thialme a écrit:

mattotop a écrit:

J'ajoute qu'il faut être parano pour filtrer l'output, et que donc je ne filtre jamais ce qui sort.

J'avoue donc ma paranoia

Cela peut éviter que quelqu'utilise une machine pour faire autre chose que ce dont à quoi elle sert, voir aussi d'éviter les backdoors.

C'est quoi un backdoor ?

mattotop · **Inscrit le:** 08 Sep 2004 23:53 **Messages:** 22253 **Localisation:** CAEN

backdoor:
http://fr.wikipedia.org/wiki/Backdoor
et pour ce qui est de linux:
http://fr.wikipedia.org/wiki/Backdoor#Linux
S'en préoccuper - en dehors de certaines contraintes trés particulières - me semble être de la parano, et LE cas de backdoor linux (à bien distinguer de gnu, on ne parle ici que des failles du noyau) n'etait exploitable que pour quelqu'un ayant la main sur la machine.

ricardo · **Inscrit le:** 15 Oct 2004 01:13 **Messages:** 13673 **Localisation:** Dordogne

thialme · **Inscrit le:** 10 Juin 2007 21:34 **Messages:** 681

thialme a écrit:

Cela peut éviter que quelqu'utilise une machine pour faire autre chose que ce dont à quoi elle sert, voir aussi d'éviter les backdoors.

J'oubliais, un firewall ne permet pas simplement de sécuriser un poste client, mais il a aussi pour but de rendre un réseau privé plus sure. Hormis la restriction des accès depuis l'extérieur, il permet aussi d'éviter que les postes winxx ne renvoient des informations sensibles en dehors, ne soient contrôler par un tiers, il peut restreindre les services des utilisateurs comme le chat par exemple.

Tien un truc qui me vient à l'esprit : je serais curieux du connaître le nombre de gens qui vérifie les sources qu'ils téléchargent sur divers sites, en utilisant la somme MD5 et les clé GPG si disponibles.

ginkgo biloba

J'ai lu qu'apt-get et aptitude font cela automatiquement ... Donc, tout le monde ?

ricardo · **Inscrit le:** 15 Oct 2004 01:13 **Messages:** 13673 **Localisation:** Dordogne

ginkgo biloba a écrit:

J'ai lu qu'apt-get et aptitude font cela automatiquement ... Donc, tout le monde ?

Ben oui puisque quand la clé n'est pas connue, il ne TC pas et c'est là qu'on a la fameuse annonce qui fait le sujet de ce fil. :lol:

Tu peux m^ rajouter Synaptic qui fait de m^. :wink:

Forum debian-fr.org

erreur lors d'un update: NO_PUBKEY

Qui est en ligne ?