Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Linux Autres OS Linux Debian pbm avec aptitude...

pbm avec aptitude...

2 réponses
Avatar
Frederic Baldit
Bonjour,
j'ai constat=E9 depuis quelques temps (passage de sarge =E0 etch) que aptitu=
de me=20
renvoyait des messages du type:

W: GPG error: http://ftp2.fr.debian.org testing Release: Les signatures=20
suivantes n'ont pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas=20
disponible=A0: NO_PUBKEY 010908312D230C5F
W: GPG error: http://ftp.oleane.net testing Release: Les signatures suivante=
s=20
n'ont pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas disponible=
=A0:=20
NO_PUBKEY BB5E459A529B8BDA
W: GPG error: ftp://ftp.nerim.net etch Release: Les signatures suivantes n'o=
nt=20
pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas disponible=A0: N=
O_PUBKEY=20
07DC563D1F41B907
W: GPG error: http://www.stanchina.net ./ Release: Les signatures suivantes=20
n'ont pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas disponible=
=A0:=20
NO_PUBKEY 3DCCCCACE46F104F

Par ailleurs si je mets =E0 jour mon installation, aptitude me renvoi des=20
messages du type:

ATTENTION : des versions non certifi=E9es des paquets qui suivent vont =EAtr=
e=20
install=E9es.

Des paquets non certifi=E9s peuvent compromettre la s=E9curit=E9 de votre sy=
st=E8me.=20
Vous ne devez poursuivre leur installation que si vous =EAtes certain de ce=20=
que=20
vous faites.
* sane-utils [version 1.0.17-1]
.....(suit la liste des paquets "non certifi=E9s")

Pensant corriger le probl=E8me j'ai (en r=E9sum=E9) install=E9 le script de=20=
Anthony=20
Towns (apt-check-signs) et install=E9 les parties publiques des cl=E9s (cf.=20=
le=20
livre sur Debian de Hertzog, V=E9rification d'authenticit=E9 des paquets, p.=
85).
Malheureusement si je fais

apt-get update
apt-check-sigs

j'obtiens respectivement

Everest:/home/fred# apt-get update
R=E9ception de=A0: 1 http://ftp2.fr.debian.org testing Release.gpg [378B]
Atteint http://ftp2.fr.debian.org testing Release
R=E9ception de=A0: 2 ftp://ftp.nerim.net etch Release.gpg [189B]
R=E9ception de=A0: 3 http://ftp.oleane.net testing Release.gpg [189B]
Atteint http://ftp.oleane.net testing Release
R=E9ception de=A0: 4 http://security.debian.org testing/updates Release.gpg=20=
[189B]
Ign http://ftp2.fr.debian.org testing Release
Ign http://ftp.oleane.net testing Release
Atteint ftp://ftp.nerim.net etch Release
Ign ftp://ftp.nerim.net etch Release
Atteint http://ftp2.fr.debian.org testing/main Packages
Atteint http://ftp.oleane.net testing/non-free Packages
Atteint http://ftp2.fr.debian.org testing/main Sources
Atteint ftp://ftp.nerim.net etch/main Packages
Atteint http://security.debian.org testing/updates Release
Ign http://security.debian.org testing/updates/main Packages
Atteint http://security.debian.org testing/updates/main Packages
R=E9ception de=A0: 5 http://www.stanchina.net ./ Release.gpg [189B]
Atteint http://www.stanchina.net ./ Release
Ign http://www.stanchina.net ./ Release
Atteint http://www.stanchina.net ./ Packages
946o r=E9ceptionn=E9s en 1s (559o/s)
Lecture des listes de paquets... Fait
W: GPG error: http://ftp2.fr.debian.org testing Release: Les signatures=20
suivantes n'ont pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas=20
disponible=A0: NO_PUBKEY 010908312D230C5F
W: GPG error: http://ftp.oleane.net testing Release: Les signatures suivante=
s=20
n'ont pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas disponible=
=A0:=20
NO_PUBKEY BB5E459A529B8BDA
W: GPG error: ftp://ftp.nerim.net etch Release: Les signatures suivantes n'o=
nt=20
pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas disponible=A0: N=
O_PUBKEY=20
07DC563D1F41B907
W: GPG error: http://www.stanchina.net ./ Release: Les signatures suivantes=20
n'ont pas pu =EAtre v=E9rifi=E9es car la cl=E9 publique n'est pas disponible=
=A0:=20
NO_PUBKEY 3DCCCCACE46F104F
W: Vous pouvez lancer =AB=A0apt-get update=A0=BB pour corriger ces probl=E8m=
es.

et


Everest:~/apt-check-sigs# ./apt-check-sigs

Checking sources in /etc/apt/sources.list:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

You should take care to ensure that the distributions you're downloading
are the ones you think you are downloading, and that they are as up to
date as you would expect (testing and unstable should be no more than
two or three days out of date, stable-updates no more than a few weeks
or a month).

Source: deb http://ftp2.fr.debian.org/debian/ testing main
o Origin: Debian/Debian
o Suite: testing/etch
o Date: Sun, 15 Jan 2006 21:21:43 UTC
o Description: Debian Testing distribution - Not Released
* COULDN'T CHECK SIGNATURE BY KEYID: F1D53D8C4F368D5D
* COULDN'T CHECK SIGNATURE BY KEYID: 010908312D230C5F
* NO VALID SIGNATURE
* PROBLEMS WITH main (OK, NOCHECK)

Source: deb-src http://ftp2.fr.debian.org/debian/ testing main
o Origin: Debian/Debian
o Suite: testing/etch
o Date: Sun, 15 Jan 2006 21:21:43 UTC
o Description: Debian Testing distribution - Not Released
* COULDN'T CHECK SIGNATURE BY KEYID: F1D53D8C4F368D5D
* COULDN'T CHECK SIGNATURE BY KEYID: 010908312D230C5F
* NO VALID SIGNATURE
* PROBLEMS WITH component main (OK, NOCHECK)

Source: deb http://security.debian.org/ testing/updates main
o Origin: Debian/Debian-Security
o Suite: testing/etch
o Date: Mon, 16 Jan 2006 15:16:00 UTC
o Description: Debian testing Security Updates
* COULDN'T CHECK SIGNATURE BY KEYID: F1D53D8C4F368D5D
* NO VALID SIGNATURE
* PROBLEMS WITH main (OK, NOCHECK)

Source: deb http://www.stanchina.net/~flavio/debian-fglrx-xfree86/ ./
* NO TOP-LEVEL Release FILE

Source: deb http://ftp.oleane.net/pub/java-linux/debian/ testing non-free
o Origin: Blackdown Java-Linux/blackdown
o Suite: testing/etch
o Date: Tue, 29 Nov 2005 19:50:09 +0000
o Description: Blackdown deb archive
* COULDN'T CHECK SIGNATURE BY KEYID: BB5E459A529B8BDA
* NO VALID SIGNATURE
* PROBLEMS WITH non-free (OK, NOCHECK)

Source: deb ftp://ftp.nerim.net/debian-marillat/ etch main
o Origin: Unofficial Multimedia Packages/Unofficial Multimedia Packages
o Suite: testing/etch
o Date: Mon, 16 Jan 2006 12:54:56 UTC
o Description: This repository is mostly non-free
* COULDN'T CHECK SIGNATURE BY KEYID: 07DC563D1F41B907
* NO VALID SIGNATURE
* PROBLEMS WITH main (OK, NOCHECK)

Results
~~~~~~~

find: AVERTISSEMENT: vous avez sp=E9cifi=E9 l'option -maxdepth apr=E8s un ar=
gument=20
qui n'est pas une option -type mais les options sont positionnelles=20
(-maxdepth affecte les tests sp=E9cifi=E9s avant aussi bien qu'apr=E8s)

The following files in /var/lib/apt/lists have not been validated.
This could turn out to be a harmless indication that this script is buggy
or out of date, or it could let trojaned packages get onto your system.

ftp2.fr.debian.org_debian_dists_testing_Release
ftp.nerim.net_debian-marillat_dists_etch_Release
ftp.oleane.net_pub_java-linux_debian_dists_testing_Release
security.debian.org_dists_testing_updates_Release
security.debian.org_dists_testing_updates_Release.gpg
www.stanchina.net_%7eflavio_debian-fglrx-xfree86_._Packages
www.stanchina.net_%7eflavio_debian-fglrx-xfree86_._Release

The contents of the following files in /var/lib/apt/lists could not be
validated due to the lack of a signed Release file, or the lack of an
appropriate entry in a signed Release file. This probably means that the
maintainers of these sources are slack, but may mean these sources are
being actively used to distribute trojans. The files have been renamed
to have the extension .FAILED and will be ignored by apt.

ftp2.fr.debian.org_debian_dists_testing_main_binary-i386_Packages
ftp2.fr.debian.org_debian_dists_testing_main_source_Sources
security.debian.org_dists_testing_updates_main_binary-i386_Packages
=20
ftp.oleane.net_pub_java-linux_debian_dists_testing_non-free_binary-i386_Pack=
ages
ftp.nerim.net_debian-marillat_dists_etch_main_binary-i386_Packages

Quelqu'un a-t-il une id=E9e ?????
Merci d'avance.
F.Baldit.
Signaler un problème avec ce contenu

2 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Hervé Piedvache
Bonjour,

Lorsque la commande apt-get update vous insulte avec un message du genre “W:
GPG error: ftp://ftp.nerim.net unstable Release: Les signatures suivantes
n’ont pas pu être vérifiées car la clé publique n’est pas disponible :
NO_PUBKEY 010908312D230C5F”, c’est qu’il est nà ©cessaire de mettre à jour la
clé du dépôt concerné dans le jeu de clés utilis é par apt.

A partir de là deux solutions : il s’agit du dépôt m aître debian et vous
voulez mettre à jour l’ensemble des jeux de clés correspo ndant. Un simple
wget http://ftp-master.debian.org/ziyi_key_2006.asc -O - | apt-key add -
devrait faire l’affaire.

Si vous voulez ne mettre à jour que la clé spécifiée pa r apt, il suffit de
récupérer le numéro de la clé, les 8 derniers caractà ¨res réportés par apt
correspondant à l’identifiant réel de la clé. Par ex emple le message
“NO_PUBKEY 010908312D230C5F” nous dit que l’identif iant de la clé est
“2D230C5F”. Ensuite il faut taper les commandes suivantes ( en root) :

gpg --keyserver hkp://wwwkeys.eu.pgp.net --recv-keys 2D230C5F
gpg --armor --export 2D230C5F | apt-key add -

Vala,

Le Lundi 16 Janvier 2006 22:42, Frederic Baldit a écrit :
Bonjour,
j'ai constaté depuis quelques temps (passage de sarge à etch) q ue aptitude
me renvoyait des messages du type:

W: GPG error: http://ftp2.fr.debian.org testing Release: Les signatures
suivantes n'ont pas pu être vérifiées car la clé publ ique n'est pas
disponible : NO_PUBKEY 010908312D230C5F
W: GPG error: http://ftp.oleane.net testing Release: Les signatures
suivantes n'ont pas pu être vérifiées car la clé publ ique n'est pas
disponible : NO_PUBKEY BB5E459A529B8BDA
W: GPG error: ftp://ftp.nerim.net etch Release: Les signatures suivantes
n'ont pas pu être vérifiées car la clé publique n'est pas disponible :
NO_PUBKEY 07DC563D1F41B907
W: GPG error: http://www.stanchina.net ./ Release: Les signatures suivant es
n'ont pas pu être vérifiées car la clé publique n'est pas disponible :
NO_PUBKEY 3DCCCCACE46F104F

Par ailleurs si je mets à jour mon installation, aptitude me renvoi des
messages du type:

ATTENTION : des versions non certifiées des paquets qui suivent vont être
installées.

Des paquets non certifiés peuvent compromettre la sécurité de votre
système. Vous ne devez poursuivre leur installation que si vous à ªtes
certain de ce que vous faites.
* sane-utils [version 1.0.17-1]
.....(suit la liste des paquets "non certifiés")

Pensant corriger le problème j'ai (en résumé) installà © le script de Anthony
Towns (apt-check-signs) et installé les parties publiques des clà ©s (cf. le
livre sur Debian de Hertzog, Vérification d'authenticité des pa quets,
p.85). Malheureusement si je fais

apt-get update
apt-check-sigs

j'obtiens respectivement

Everest:/home/fred# apt-get update
Réception de : 1 http://ftp2.fr.debian.org testing Release.gpg [378B]
Atteint http://ftp2.fr.debian.org testing Release
Réception de : 2 ftp://ftp.nerim.net etch Release.gpg [189B]
Réception de : 3 http://ftp.oleane.net testing Release.gpg [189 B]
Atteint http://ftp.oleane.net testing Release
Réception de : 4 http://security.debian.org testing/updates Rel ease.gpg
[189B] Ign http://ftp2.fr.debian.org testing Release
Ign http://ftp.oleane.net testing Release
Atteint ftp://ftp.nerim.net etch Release
Ign ftp://ftp.nerim.net etch Release
Atteint http://ftp2.fr.debian.org testing/main Packages
Atteint http://ftp.oleane.net testing/non-free Packages
Atteint http://ftp2.fr.debian.org testing/main Sources
Atteint ftp://ftp.nerim.net etch/main Packages
Atteint http://security.debian.org testing/updates Release
Ign http://security.debian.org testing/updates/main Packages
Atteint http://security.debian.org testing/updates/main Packages
Réception de : 5 http://www.stanchina.net ./ Release.gpg [189B]
Atteint http://www.stanchina.net ./ Release
Ign http://www.stanchina.net ./ Release
Atteint http://www.stanchina.net ./ Packages
946o réceptionnés en 1s (559o/s)
Lecture des listes de paquets... Fait
W: GPG error: http://ftp2.fr.debian.org testing Release: Les signatures
suivantes n'ont pas pu être vérifiées car la clé publ ique n'est pas
disponible : NO_PUBKEY 010908312D230C5F
W: GPG error: http://ftp.oleane.net testing Release: Les signatures
suivantes n'ont pas pu être vérifiées car la clé publ ique n'est pas
disponible : NO_PUBKEY BB5E459A529B8BDA
W: GPG error: ftp://ftp.nerim.net etch Release: Les signatures suivantes
n'ont pas pu être vérifiées car la clé publique n'est pas disponible :
NO_PUBKEY 07DC563D1F41B907
W: GPG error: http://www.stanchina.net ./ Release: Les signatures suivant es
n'ont pas pu être vérifiées car la clé publique n'est pas disponible :
NO_PUBKEY 3DCCCCACE46F104F
W: Vous pouvez lancer « apt-get update » pour corrige r ces problèmes.

et


Everest:~/apt-check-sigs# ./apt-check-sigs

Checking sources in /etc/apt/sources.list:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

You should take care to ensure that the distributions you're downloading
are the ones you think you are downloading, and that they are as up to
date as you would expect (testing and unstable should be no more than
two or three days out of date, stable-updates no more than a few weeks
or a month).

Source: deb http://ftp2.fr.debian.org/debian/ testing main
o Origin: Debian/Debian
o Suite: testing/etch
o Date: Sun, 15 Jan 2006 21:21:43 UTC
o Description: Debian Testing distribution - Not Released
* COULDN'T CHECK SIGNATURE BY KEYID: F1D53D8C4F368D5D
* COULDN'T CHECK SIGNATURE BY KEYID: 010908312D230C5F
* NO VALID SIGNATURE
* PROBLEMS WITH main (OK, NOCHECK)

Source: deb-src http://ftp2.fr.debian.org/debian/ testing main
o Origin: Debian/Debian
o Suite: testing/etch
o Date: Sun, 15 Jan 2006 21:21:43 UTC
o Description: Debian Testing distribution - Not Released
* COULDN'T CHECK SIGNATURE BY KEYID: F1D53D8C4F368D5D
* COULDN'T CHECK SIGNATURE BY KEYID: 010908312D230C5F
* NO VALID SIGNATURE
* PROBLEMS WITH component main (OK, NOCHECK)

Source: deb http://security.debian.org/ testing/updates main
o Origin: Debian/Debian-Security
o Suite: testing/etch
o Date: Mon, 16 Jan 2006 15:16:00 UTC
o Description: Debian testing Security Updates
* COULDN'T CHECK SIGNATURE BY KEYID: F1D53D8C4F368D5D
* NO VALID SIGNATURE
* PROBLEMS WITH main (OK, NOCHECK)

Source: deb http://www.stanchina.net/~flavio/debian-fglrx-xfree86/ ./
* NO TOP-LEVEL Release FILE

Source: deb http://ftp.oleane.net/pub/java-linux/debian/ testing non-free
o Origin: Blackdown Java-Linux/blackdown
o Suite: testing/etch
o Date: Tue, 29 Nov 2005 19:50:09 +0000
o Description: Blackdown deb archive
* COULDN'T CHECK SIGNATURE BY KEYID: BB5E459A529B8BDA
* NO VALID SIGNATURE
* PROBLEMS WITH non-free (OK, NOCHECK)

Source: deb ftp://ftp.nerim.net/debian-marillat/ etch main
o Origin: Unofficial Multimedia Packages/Unofficial Multimedia Packages
o Suite: testing/etch
o Date: Mon, 16 Jan 2006 12:54:56 UTC
o Description: This repository is mostly non-free
* COULDN'T CHECK SIGNATURE BY KEYID: 07DC563D1F41B907
* NO VALID SIGNATURE
* PROBLEMS WITH main (OK, NOCHECK)

Results
~~~~~~~

find: AVERTISSEMENT: vous avez spécifié l'option -maxdepth apr ès un
argument qui n'est pas une option -type mais les options sont
positionnelles (-maxdepth affecte les tests spécifiés avant aus si bien
qu'après)

The following files in /var/lib/apt/lists have not been validated.
This could turn out to be a harmless indication that this script is buggy
or out of date, or it could let trojaned packages get onto your system.

ftp2.fr.debian.org_debian_dists_testing_Release
ftp.nerim.net_debian-marillat_dists_etch_Release
ftp.oleane.net_pub_java-linux_debian_dists_testing_Release
security.debian.org_dists_testing_updates_Release
security.debian.org_dists_testing_updates_Release.gpg
www.stanchina.net_%7eflavio_debian-fglrx-xfree86_._Packages
www.stanchina.net_%7eflavio_debian-fglrx-xfree86_._Release

The contents of the following files in /var/lib/apt/lists could not be
validated due to the lack of a signed Release file, or the lack of an
appropriate entry in a signed Release file. This probably means that the
maintainers of these sources are slack, but may mean these sources are
being actively used to distribute trojans. The files have been renamed
to have the extension .FAILED and will be ignored by apt.

ftp2.fr.debian.org_debian_dists_testing_main_binary-i386_Packages
ftp2.fr.debian.org_debian_dists_testing_main_source_Sources
security.debian.org_dists_testing_updates_main_binary-i386_Packages

ftp.oleane.net_pub_java-linux_debian_dists_testing_non-free_binary-i386_P ac
kages ftp.nerim.net_debian-marillat_dists_etch_main_binary-i386_Packages

Quelqu'un a-t-il une idée ?????
Merci d'avance.
F.Baldit.



--
Hervé Piedvache
Avatar
Frederic Baldit
Merci pour l'aide et son efficacité. En appliquant les commandes

1) pour récupérer et activer le jeu de clés 2006 du dà ©pôt maître debian
2) pour récupérer et activer des clés particulières à d'autres dépôts

j'ai pu faire disparaître les messages d'avertissement d' apt. Merci!

Il me reste une ou deux questions: comme indiqué dans mon message j'av ais
initialement suivi la procédure du script d'Anthony Towns (récup éré dans le
livre d'Hertzog sur Debian, que j'apprends à utiliser). Cette méth ode
est-elle désormais caduque ? Hertzog explique (son livre est de 2003/20 04 je
crois) qu' apt devait bientôt intégrer un mécanisme de gestio n de
l'authenticité des paquets. Je suppose qu'il s'agit de la (nouvelle?)
commande apt-key ? Ai-je bien compris ? Par ailleurs il (Hertzog) indique
aussi qu'il faut s'assurer que les clés publiques que l'on récup ère sont bien
les bonnes, car il y a un problème de sécurité du tél échargement. Il indique
qu'il faut controller le fingerprint de ces clés. Cette question est-el le
toujours d'actualité avec les commandes que vous m'avez indiquées ?
Merci encore de vos réponses. J'aime bien comprendre un minimum ce que je
fais, même sans me lancer dans la lecture approfondie de la doc d'apt-k ey...
Cordialement.
F.B.