Encontrei uma máquina Debian que, ao tentar atualizar pacotes, gerou o amplamente discutido "erro GPG:http://security.debian.orgwheezy/updates Release: As seguintes assinaturas não puderam ser verificadas porque a chave pública não está disponível: NO_PUBKEY 8B48AD6246925553". Para importar as chaves atuais, o pacote debian-keyring precisa ser instalado.
Mas como as chaves da máquina não são mais válidas, como posso ter certeza de que o conteúdo do pacote não foi violado?
Responder1
Se você descartar a adição da chave e usá-la, ainda poderá verificar o MD5 manualmente.
Print the md5sum of the Packages file which is listed in the Release file.
sed -n "s,main/binary-i386/Packages$,,p" ftp.us.debian.org_debian_dists_sid_Release
# Print the md5sum of the Packages file itself.
md5sum ftp.us.debian.org_debian_dists_sid_main_binary-i386_Packages
Por fim, verifique a soma de verificação MD5 ou SHA do próprio pacote:
apt-cache show <package_name> | sed -n "s/MD5sum: //p" # Grab the checksum from the APT cache.
md5sum <binary_package_name>.deb # Compare it against the binary package's checksum.