Siegfrid Brandstätter: > Am Freitag, 5. Juni 2009 schrieb Jochen Schulz: >> Siegfrid Brandstätter: >>> >>> etch2:/home/sigi# gpg --export --armour $id | apt-key add - >>> OK >> >> Nur zur Sicherheit: Du hast statt "$id" eine passende Key-ID genommen >> oder als Variable gesetzt, oder? > > Nein, leider so wie es gestanden ist ;-( Erstmal: tut mir leid, ich hätte das vielleicht dazuschreiben sollen. Das Verhalten von 'gpg --export' bei fehlender Key-ID war mir beim Schreiben aber selbst nicht bewusst. Dann mal grundlegend: mit dem Importieren eines Schlüssels in den Keyring von apt drückst Du apt gegenüber Dein Vertrauen in den Schlüsselinhaber aus, dass dieser Dein System bestimmt nicht kaputtmachen oder für böse Zwecke missbrauchen kann. Das kann er nämlich, sobald Du Pakete von ihm installierst. Jeder Inhaber eines Schlüssels im apt-Keyring hat praktisch root-Zugriff auf Deine Kiste. Und genau dafür, dass Du selbst bestimmen kannst, von wem Du Pakete installieren willst und von wem nicht, dafür gibt es das ganze Schlüsselgeraffel in apt. Die apt-Frontends warnen Dich extra, wenn Du mit einem unbekannten Schlüssel signierte Pakete installieren willst. Da das ganze kryptographisch gesichert ist, kann auch nicht einfach irgendwer in den von Dir benutzten Debian-Mirror einbrechen und Dir unbemerkt Pakete unterschieben. Du solltest jetzt also überprüfen, welche Schlüssel Du importiert hast und ob das eine gute Idee war. Das kannst Du mit 'apt-key list' überprüfen und ggf. mit 'apt-key del' lösen. Wenn Du den Keyring von root nie für etwas anderes benutzt, als die apt-Keys zu aktualisieren, ist wahrscheinlich auch gar nichts passiert. J. -- In idle moments I remember former lovers with sentimental tenderness. [Agree] [Disagree] <http://www.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: Digital signature