义乌市建设局官方网站,it培训班出来工作有人要么,南通网站公司,网站开发时间进度引言
随着 Debian 11 和 Ubuntu 22.04 版本的推出#xff0c;APT 的密钥管理方式发生了重大的变化。apt-key 命令被正式弃用#xff0c;新的密钥管理机制要求使用 /etc/apt/keyrings/ 或 /etc/apt/trusted.gpg.d/ 来存储和管理密钥。这一变化对管理员和普通用户来说至关重要…引言
随着 Debian 11 和 Ubuntu 22.04 版本的推出APT 的密钥管理方式发生了重大的变化。apt-key 命令被正式弃用新的密钥管理机制要求使用 /etc/apt/keyrings/ 或 /etc/apt/trusted.gpg.d/ 来存储和管理密钥。这一变化对管理员和普通用户来说至关重要特别是当通过 apt update 或 apt upgrade 执行系统更新时可能会遇到关于 apt-key 弃用的警告信息。
本博客将详细讲解如何处理 apt-key 弃用警告如何迁移到新的密钥管理方法同时提供具体的命令、步骤和解释帮助大家更好地理解这一变更。
过渡步骤概览
当您遇到 apt-key 弃用的警告时通常是因为系统中存在使用 apt-key 添加的密钥。为了应对这种情况需要进行以下操作
确定哪些密钥存储在 /etc/apt/trusted.gpg 文件中。删除过时的密钥避免产生警告信息。安装并配置替代的密钥使用新的密钥存储路径 /etc/apt/keyrings/ 或 /etc/apt/trusted.gpg.d/。 目录 引言一、apt-key 弃用警告解析1.1 发生了什么1.2 为什么要迁移1.3 新的密钥管理方式 二、迁移密钥管理的步骤2.1 查找和删除密钥2.1.1 查找已存储的密钥2.1.2 删除不需要的密钥 2.2 获取新的密钥并添加2.2.1 从官方网站获取 GPG 密钥2.2.2 使用 wget 或 curl 下载 GPG 密钥2.2.3 设置文件权限 2.3 使用 Signed-By 选项2.4 验证密钥是否有效2.5 完成迁移 三、完整示例迁移密钥管理密钥四、迁移流程图总结 一、apt-key 弃用警告解析
1.1 发生了什么
在 Ubuntu 22.04 或 Debian 11 中执行 apt update 或 apt upgrade 时可能会出现类似的警告信息
W: https://updates.example.com/desktop/apt/dists/xenial/InRelease: Key is stored in legacy trusted.gpg keyring (/etc/apt/trusted.gpg), see the DEPRECATION section in apt-key(8) for details.这条警告的核心信息是apt-key 命令已经不再推荐使用并逐步被淘汰。原因在于传统的 apt-key 机制存在安全隐患并且不符合现代 Linux 系统的密钥管理要求。为了增强系统的安全性和灵活性APT 引导用户迁移到新的密钥管理方法。
1.2 为什么要迁移
apt-key 被弃用的原因主要有以下几点
安全问题apt-key 将所有密钥存储在单个文件中如 /etc/apt/trusted.gpg这使得密钥容易受到篡改或丢失的风险。缺乏灵活性它无法细粒度地管理每个软件源的独立密钥尤其是在需要管理多个源时不够方便。新的标准推荐使用/etc/apt/keyrings/ 或 /etc/apt/trusted.gpg.d/ 目录来管理密钥增强了安全性和可维护性。
这些问题促使了新的密钥管理方式的出现它可以提高系统的安全性和灵活性更好地满足现代化需求。
1.3 新的密钥管理方式
新的密钥管理方法建议将密钥文件存储在 /etc/apt/keyrings/ 或 /etc/apt/trusted.gpg.d/ 目录并通过 APT 配置文件中的 Signed-By 选项来指定每个软件源的密钥。这样做有几个优点
独立管理每个存储库可以使用单独的密钥避免了 apt-key 所带来的密钥泄露风险。增强安全性通过将密钥存储在专用的目录下密钥管理变得更加安全且每个密钥的使用场景更加清晰。灵活性提升可以更精细地管理每个软件源的认证提高密钥管理的灵活性。
二、迁移密钥管理的步骤
2.1 查找和删除密钥
首先检查当前系统中的所有密钥并删除不再需要的密钥。
2.1.1 查找已存储的密钥
使用 apt-key list 命令查看系统中存储的所有密钥
$ sudo apt-key list此命令会显示当前存储在 /etc/apt/trusted.gpg 文件和 /etc/apt/trusted.gpg.d/ 目录中的所有 GPG 密钥。输出信息包括密钥的 ID、相关的仓库以及该密钥的创建日期等信息。
输出示例
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8))./etc/apt/trusted.gpg
--------------------
pub rsa4096 2025-01-20 [SC]A9D4 7D52 12F0 E256 1D84 0C32 A63A 9211 3F6A 6E32
uid [ unknown] Example supportexample.com
sub rsa4096 2025-01-20 [E]pub rsa4096 2025-01-20 [SC]A4B6 2D8F 8F54 6B7A 5E88 7F16 24B2 A562 54D6 5F76
uid [ unknown] Google Inc. (Linux Packages Signing Authority) linux-packages-keymastergoogle.com
sub rsa4096 2025-01-20 [S] [expires: 2028-01-19]这些密钥是用来验证各个软件源包的。可以看到密钥文件中包含多个软件源的密钥如 Example 和 Google 等。
2.1.2 删除不需要的密钥
可以使用 apt-key del 命令删除不再需要的 GPG 密钥指定要删除的密钥标识符通常是一组四位数的十六进制数字。例如删除与 Example 相关的密钥可以执行以下命令
sudo apt-key del A9D4 7D52 12F0 E256 1D84 0C32 A63A 9211 3F6A 6E32请根据实际情况替换命令中的密钥标识符删除不需要的密钥。删除密钥后相关存储库将无法使用此密钥进行认证。如果仍需访问该存储库必须为其添加新的密钥。
2.2 获取新的密钥并添加
获取和安装新的 GPG 密钥是确保从外部软件源安装软件包时保持系统安全的一个重要步骤。密钥的获取方法会根据应用程序的不同而有所不同取决于具体的应用程序。
以下是详细的操作步骤和示例
2.2.1 从官方网站获取 GPG 密钥
大多数应用程序会在其官方网站提供用于验证软件包的 GPG 密钥以便验证软件包的完整性和真实性。可以使用 wget 或 curl 命令从应用程序的官方网站下载 GPG 密钥。
2.2.2 使用 wget 或 curl 下载 GPG 密钥
首先假设要安装一个应用程序比如 MyApp并且该应用程序提供了 GPG 密钥。可以从其官方网站下载密钥。
使用 wget 下载密钥
wget -qO - https://myapp.example.com/repo/myapp.gpg | sudo tee /etc/apt/keyrings/myapp.gpg解释
-qO -wget 将以安静模式下载文件并将其输出到标准输出即终端。https://myapp.example.com/repo/myapp.gpg这是应用程序的 GPG 密钥文件的 URL。sudo tee /etc/apt/keyrings/myapp.gpgtee 命令会将密钥保存到 /etc/apt/keyrings/ 目录中。
使用 curl 下载密钥
curl -fsSL https://myapp.example.com/repo/myapp.gpg | sudo tee /etc/apt/keyrings/myapp.gpg解释
-fsSLcurl 的选项确保下载时不显示进度信息、若失败则不输出错误信息并且支持 SSL。https://myapp.example.com/repo/myapp.gpgGPG 密钥文件的 URL。sudo tee /etc/apt/keyrings/myapp.gpg保存密钥到 /etc/apt/keyrings/ 目录。
2.2.3 设置文件权限
确保密钥文件的权限安全以防止其他用户篡改密钥。
sudo chown root:root /etc/apt/keyrings/myapp.gpg
sudo chmod 644 /etc/apt/keyrings/myapp.gpgchown root:root确保密钥文件属于 root 用户和 root 用户组。chmod 644确保文件具有适当的权限使得只有 root 用户能够修改其他用户可以读取。
2.3 使用 Signed-By 选项
为确保每个软件源使用正确的密钥可以将密钥存放在 /etc/apt/keyrings/ 目录并通过 Signed-By 选项在 APT 配置文件 /etc/apt/sources.list 或 /etc/apt/sources.list.d/ 文件中指定密钥。这样可以提高密钥管理的精确性和安全性。
例如假设 MyApp 提供了一个软件源可以将其添加到 APT 的源列表中并使用 Signed-By 指定密钥
echo deb [signed-by/etc/apt/keyrings/myapp.gpg] https://myapp.example.com/debian/ stable main | sudo tee /etc/apt/sources.list.d/myapp.list解释
deb [signed-by/etc/apt/keyrings/myapp.gpg] https://myapp.example.com/debian/ stable main将 MyApp 的软件源添加到 APT 源列表中并使用 Signed-By 选项指定 GPG 密钥的路径。deb [signed-by/etc/apt/keyrings/myapp.gpg]指定软件源使用 /etc/apt/keyrings/myapp.gpg 作为 GPG 密钥。https://myapp.example.com/debian/ stable main添加 MyApp 的软件源。
2.4 验证密钥是否有效
要确保密钥已正确配置并生效可以使用以下命令查看 /etc/apt/keyrings/ 目录下的文件列表
ls -l /etc/apt/keyrings/输出应该类似于
-rw-r--r-- 1 root root 7821 Sep 2 10:55 myapp.gpg如果看到类似的输出说明密钥已经正确配置。这些文件代表着不同软件包源的密钥文件。
2.5 完成迁移
完成上述步骤后可以运行 apt update 命令来检查迁移是否成功。一旦密钥迁移完成系统将不再显示关于 apt-key 弃用的警告。
sudo apt update如果一切顺利更新过程将顺利完成而不会再显示弃用的警告或错误信息。
三、完整示例迁移密钥管理密钥
以下示例展示了如何添加 MyApp 软件源并确保其安全性。操作步骤包括下载 GPG 密钥、配置软件源、设置文件权限、并最终安装所需的软件包。
操作步骤概览
查找 GPG 密钥使用 sudo apt-key list 命令查看系统中存储的 GPG 密钥。删除不需要的 GPG 密钥使用 sudo apt-key del 命令删除不需要的密钥。下载 GPG 密钥通过 wget 或 curl 命令下载 GPG 密钥。存储密钥将密钥存储到 /etc/apt/keyrings/ 目录。设置文件权限确保密钥文件的权限安全。配置 APT 使用密钥在软件源配置文件中使用 Signed-By 选项指定密钥路径。安装软件包更新软件包列表并安装所需的软件包。
具体步骤 假设要安装 MyApp并且该应用程序的 GPG 密钥和软件源都提供了。以下是完整的操作步骤
查找系统中已有的 GPG 密钥
sudo apt-key list删除不需要的 GPG 密钥 如果 myapp 密钥的标识符是 A9D4 7D52 12F0 E256 1D84 0C32 A63A 9211 3F6A 6E32删除命令如下 sudo apt-key del A9D4 7D52 12F0 E256 1D84 0C32 A63A 9211 3F6A 6E32下载 GPG 密钥并保存到 /etc/apt/keyrings/ 目录 wget -qO - https://myapp.example.com/repo/myapp.gpg | sudo tee /etc/apt/keyrings/myapp.gpg设置密钥文件的权限 sudo chown root:root /etc/apt/keyrings/myapp.gpg
sudo chmod 644 /etc/apt/keyrings/myapp.gpg配置 APT添加软件源并指定 GPG 密钥 echo deb [signed-by/etc/apt/keyrings/myapp.gpg] https://myapp.example.com/debian/ stable main | sudo tee /etc/apt/sources.list.d/myapp.list更新软件包列表并安装应用程序 sudo apt update
sudo apt install myapp四、迁移流程图
为了帮助大家更好地理解迁移过程下面提供了一个流程图简明扼要地展示了迁移步骤 #mermaid-svg-sYWAK1vq4yZlnRK6 {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .error-icon{fill:#552222;}#mermaid-svg-sYWAK1vq4yZlnRK6 .error-text{fill:#552222;stroke:#552222;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edge-thickness-normal{stroke-width:2px;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edge-thickness-thick{stroke-width:3.5px;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edge-pattern-solid{stroke-dasharray:0;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edge-pattern-dashed{stroke-dasharray:3;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edge-pattern-dotted{stroke-dasharray:2;}#mermaid-svg-sYWAK1vq4yZlnRK6 .marker{fill:#333333;stroke:#333333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .marker.cross{stroke:#333333;}#mermaid-svg-sYWAK1vq4yZlnRK6 svg{font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;}#mermaid-svg-sYWAK1vq4yZlnRK6 .label{font-family:"trebuchet ms",verdana,arial,sans-serif;color:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .cluster-label text{fill:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .cluster-label span{color:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .label text,#mermaid-svg-sYWAK1vq4yZlnRK6 span{fill:#333;color:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .node rect,#mermaid-svg-sYWAK1vq4yZlnRK6 .node circle,#mermaid-svg-sYWAK1vq4yZlnRK6 .node ellipse,#mermaid-svg-sYWAK1vq4yZlnRK6 .node polygon,#mermaid-svg-sYWAK1vq4yZlnRK6 .node path{fill:#ECECFF;stroke:#9370DB;stroke-width:1px;}#mermaid-svg-sYWAK1vq4yZlnRK6 .node .label{text-align:center;}#mermaid-svg-sYWAK1vq4yZlnRK6 .node.clickable{cursor:pointer;}#mermaid-svg-sYWAK1vq4yZlnRK6 .arrowheadPath{fill:#333333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edgePath .path{stroke:#333333;stroke-width:2.0px;}#mermaid-svg-sYWAK1vq4yZlnRK6 .flowchart-link{stroke:#333333;fill:none;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edgeLabel{background-color:#e8e8e8;text-align:center;}#mermaid-svg-sYWAK1vq4yZlnRK6 .edgeLabel rect{opacity:0.5;background-color:#e8e8e8;fill:#e8e8e8;}#mermaid-svg-sYWAK1vq4yZlnRK6 .cluster rect{fill:#ffffde;stroke:#aaaa33;stroke-width:1px;}#mermaid-svg-sYWAK1vq4yZlnRK6 .cluster text{fill:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 .cluster span{color:#333;}#mermaid-svg-sYWAK1vq4yZlnRK6 div.mermaidTooltip{position:absolute;text-align:center;max-width:200px;padding:2px;font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:12px;background:hsl(80, 100%, 96.2745098039%);border:1px solid #aaaa33;border-radius:2px;pointer-events:none;z-index:100;}#mermaid-svg-sYWAK1vq4yZlnRK6 :root{--mermaid-font-family:"trebuchet ms",verdana,arial,sans-serif;}#mermaid-svg-sYWAK1vq4yZlnRK6 .watermark*{fill:#fff!important;stroke:none!important;font-size:15px!important;opacity:0.8!important;}#mermaid-svg-sYWAK1vq4yZlnRK6 .watermark span{fill:#fff!important;stroke:none!important;font-size:15px!important;opacity:0.8!important;} CSDN 2136 旧的 GPG 密钥存储 删除不必要的旧密钥 获取新的 GPG 密钥 将密钥添加到 APT 配置文件中 验证密钥是否有效 完成迁移, 避免 apt-key 弃用警告 CSDN 2136 图解说明
旧的 GPG 密钥存储首先使用 apt-key list 列出当前密钥确定哪些是过时的或不再需要的。删除旧密钥通过 apt-key del 命令删除不再需要的密钥。获取新的 GPG 密钥根据不同的应用程序或软件源获取并下载新的 GPG 密钥。添加密钥到指定位置将新的密钥存储到 /etc/apt/trusted.gpg.d 或 /etc/apt/keyrings/ 目录。验证密钥有效性检查密钥是否已正确添加确保 APT 使用新的密钥进行包验证。完成迁移完成所有步骤后运行 apt update 检查迁移结果APT 将不会再显示弃用警告。
总结
通过迁移 apt-key 的密钥管理方式可以更安全地管理系统的存储库和软件包源避免将来因 apt-key 被废弃而导致的兼容性问题。通过这篇博客的步骤和示例应该能够顺利完成密钥的迁移并确保系统能够继续顺利地进行软件包更新。
对于未来的版本APT 可能会继续改进密钥管理方式因此保持系统的更新和对新技术的适应将帮助你保持系统的安全性和稳定性。
在实际操作中现在可以使用 apt update 而不会遇到与废弃密钥配置相关的警告或错误。需要注意的是用户应当根据新的要求调整依赖于 apt-key 的旧安装方法改用将密钥安装到 /etc/apt/trusted.gpg.d/ 或 /etc/apt/keyrings/ 目录下的方式并根据需要使用 gpg 来管理密钥。
如果你觉得这篇文章对你有帮助请留言讨论或分享给更多需要的人
