我如何检查哪些 apt 存储库/包通过了特定密钥的验证?

tag-icon tag-icon ubuntu apt
我如何检查哪些 apt 存储库/包通过了特定密钥的验证?

我继承了一台 Ubuntu 18.04 服务器,该服务器过去曾添加了一些自定义存储库和密钥。我想确保所有密钥仍在使用中,并查看每个密钥正在验证哪些包。有办法吗?

apt-key list我可以通过使用并查看列出所有密钥/etc/apt/trusted.gpg[.d],但如何将它们与存储库和包进行比较?

答案1

验证是通过对ReleaseAPT 源文件中列出的软件包的 MD5 和进行签名来提供的。Release.gpg从每个源下载并检查使用哪些密钥对其进行签名。这样,您将获得使用密钥签名的软件包列表 - 而不是相反。

例如deb http://us.archive.ubuntu.com/ubuntu/ bionic main restricted

  1. 有其Release文件已签入Release.gpg
  2. gpg -vv Release.gpg给出keyid 3B4FE6ACC0B21F32

  3. 将密钥 ID 与您的密钥 ID 进行比较apt-key list

    /etc/apt/trusted.gpg.d/ubuntu-keyring-2012-archive.gpg
------------------------------------------------------
pub   rsa4096 2012-05-11 [SC]
      790B C727 7767 219C 42C8 6F93 3B4F E6AC C0B2 1F32
uid           [ unknown] Ubuntu Archive Automatic Signing Key (2012) <[email protected]>

相关内容