web-dev-qa-db-fra.com

Dois-je installer des packages non signés?

Hier, lorsque j'ai essayé de mettre à jour des packages, j'ai reçu un message me demandant si je souhaitais installer un package non signé. J'ai cliqué sur non et arrêté la mise à jour.

Aujourd'hui, j'ai mis à jour tous les packages sans le message.

Alors, quels sont les packages non signés et dois-je les installer?

  • J'ai fait un Sudo apt-get update pour mettre à jour les listes de paquets et j'obtiens toujours l'erreur
  • Je n'utilise aucun AAE
4
BЈовић

Vous ne devez PAS faire confiance aux packages non signés. Du point de vue de la sécurité, un package signé signifie que la personne qui l'a créé a utilisé une clé PGP qui lui appartient pour dire "J'ai créé ce package et je vérifie son authenticité!" Les packages non signés sont risqués car vous ne savez pas qui est le développeur (alors que vous le faites avec les packages signés).

L'autre problème avec la mise à jour est que si vous utilisez un PPA, il peut lire des packages comme non signés si les clés PGP qui les ont signées à l'origine ne sont pas téléchargées, auquel cas vous devez vous assurer que vous pouvez vous connecter aux serveurs de clés et vous assurer que le signataire du paquet a une clé dans les serveurs de clés Ubuntu.

5
Thomas Ward

Si vous n'avez pas de PPA et que vous utilisez simplement une configuration de stock et que vous obtenez des packages non signés, cela pourrait être un signe que le miroir à partir duquel vous tirez est mal configuré ou en cours de mise à jour ou quelque chose.

Si vous voyez cette erreur trop souvent, envisagez de passer à un autre miroir Ubuntu:

2
Jorge Castro

Souvent, vous pouvez corriger les erreurs concernant les packages qui ne peuvent pas être authentifiés en exécutant Sudo apt-get update pour revérifier les listes de paquets et retélécharger les signatures. Si vous obtenez des erreurs d'authentification, ne soyez pas paresseux et installez simplement be packages. Au lieu de cela, découvrez pourquoi les packages ne peuvent pas être authentifiés et résolvez d'abord ce problème. De cette façon, une personne malveillante ne pourrait pas vous inciter à installer son éventuellement rootkited à la place de la vraie chose.

1
Azendale

Vous devez ajouter la prochaine fois, les clés du référentiel lorsque vous en ajoutez une

l'ajout normal d'un PPA avec add-apt-repository devrait le faire

exemple

Sudo add-apt-repository ppa: mozillateam/firefox-stable

ajoute le ppa et la clé

0
xangua