題 Aptitude Untrusted source,gpg,keyserver


我已經鏡像了Ubuntu存檔庫(我必須說它相當龐大)。 然後,我可以apt-get安裝沒有問題,但它會提示以下警告:

WARNING: The following packages cannot be authenticated!
  xxxx, xxxx, ...
Install these packages without verification [y/N]? 

好吧,你可以隨時安裝它。

但是,我無法從Ubuntu軟件GUI安裝。這需要可靠的來源。

所以,

  1. 如何強制GUI安裝不受信任的包?
  2. 我應該配置GPG來接收一些公鑰嗎? (我已經安裝了ubuntu-keyring,debian-keyring,但它仍然不受信任)
  3. 我應該自動將GPG配置為從某些特定密鑰服務器接收未知密鑰嗎?

6
2018-06-10 12:26


起源




答案:


正如Badger所說,問題可能是您的apt密鑰環上沒有存儲庫的密鑰,但我認為這不太可能。如果它真的是Ubuntu倉庫的鏡像,那麼它將使用相同的密鑰,你應該已經擁有必要的密鑰。 (我假設您使用其中一個標準鏡像時不會出現此錯誤。)

這意味著您的鏡像可能沒有正確簽名,這可能是因為您沒有以正確的方式鏡像它。您需要使用特定的序列,以避免在復制時發生repo更新時獲得不一致的副本。考慮到需要多長時間,這很可能,特別是在初始副本而不是刷新時。該 Debian推鏡像 網頁解釋瞭如何使用日常工具來完成它 rsync,但使用像這樣的專用工具仍然更好 apt-mirror

回購簽署的方式是有一個頂級的 Release dist目錄中的文件(例如 dists/lucid)簽字(Release.gpg)。這包含所有其他索引文件的哈希值(例如 main/binary-i386/Packages)它反過來包含包文件的哈希值。因此,如果任何哈希值已過期,則整個repo驗證將失敗。 Debian的 安全的Apt 解釋細節。


1
2017-07-03 05:03





您可能想看看這個網站: http://popey.com/blog/2006/10/24/Creating_an_Ubuntu_repository_mirror_with_apt-mirror/

更新時,您可能會得到以下內容:

W: GPG error: file: edgy-plf Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY F120156012B83718
W: GPG error: file: edgy Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 31A5F97FED8A569E
W: GPG error: file: edgy Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 18B52FE3521A9C7C

您想要使用這些密鑰並為每個密鑰執行此操作:

sudo gpg --keyserver subkeys.pgp.net --recv F120156012B83718
sudo gpg --export --armor F120156012B83718 | sudo apt-key add -

我只是略讀了這篇文章,但我很確定這就是你所需要的


2
2018-06-25 17:44





您還可以考慮使用緩存apt代理(例如 而不是一個完整的鏡子。這會根據您的需要提取包,並保存它們以供將來重複使用,無論是在同一台機器上還是在不同機器上。很少有人真正需要一個完整的鏡像,並且它需要很多帶寬來保持最新,其中大部分將用於你永遠不會使用的軟件包。


0
2017-07-03 05:06



那麼代理服務器對我沒用。在中國,與美國的聯繫相當緩慢,我只是不能等待大約一小時才能第一次下載東西,這就是為什麼我鏡像Ubunto的回購,因為我可以讓鏡子下載所有內容。我在睡覺。有一天,當我想安裝一些東西時,就在那裡,就在我當地的USB盒子裡,我討厭等待。 - Xiè Jìléi