OPSI Repository Signaturschlüsselfehler

damien.leviet
Beiträge: 110
Registriert: 24 Feb 2014, 11:30

OPSI Repository Signaturschlüsselfehler

Beitrag von damien.leviet »

Hallo zusammen,

nach dem Update auf Xenial habe ich die Repositorys angepasst:

http://download.uib.de/opsi_stable/doc/ ... arted.html

Ab Punkt 4.1.2

/etc/apt/sources.list

Code: Alles auswählen

...
# OPSI Xenial Packages
deb http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04 ./
Außerdem habe ich den Schlüssel importiert

Code: Alles auswählen

wget -O - http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04/Release.key | apt-key add -
apt-key list zeigt:

Code: Alles auswählen

pub   1024D/4DC87421 2010-07-23 [expires: 2017-02-17]
uid                  home:uibmz OBS Project <home:uibmz@build.opensuse.org>
Nach einem apt-get update erhalte ich:

Code: Alles auswählen

W: The repository 'http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04 ./ Release' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.
Könnt ihr mir helfen?
Habe schon neugestartet und den Key auch schon mehrmals gelöscht und wieder neu eingefügt :(

MfG Damien
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von n.wenselowski »

Hi Damien,

ich kann das auch einem 16.04 leider nicht nachvollziehen.
Ich bekomme nur eine Meldung über weak digest algorithm nach apt update, aber ansonsten funktioniert alles wie gedacht.

Besteht das Problem weiterhin bei dir?
Manchmal hat der OBS auch Schluckauf. Falls du das Problem noch immer hast, könnte auch eine übereifrige Firewall ein Problem sein.


Gruß

Niko

Code: Alles auswählen

import OPSI
SirTux
Beiträge: 558
Registriert: 05 Feb 2011, 18:37

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von SirTux »

Der Schlüssel sollte dennoch erneuert werden. AFAIK soll die Unterstützung von SHA1 in apt im Januar deaktiviert werden.
damien.leviet
Beiträge: 110
Registriert: 24 Feb 2014, 11:30

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von damien.leviet »

n.wenselowski hat geschrieben:Hi Damien,

ich kann das auch einem 16.04 leider nicht nachvollziehen.
Ich bekomme nur eine Meldung über weak digest algorithm nach apt update, aber ansonsten funktioniert alles wie gedacht.

Besteht das Problem weiterhin bei dir?
Manchmal hat der OBS auch Schluckauf. Falls du das Problem noch immer hast, könnte auch eine übereifrige Firewall ein Problem sein.


Gruß

Niko
Problem besteht leider weiterhin :/

MfG
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von ueluekmen »

Hallo zusammen,

da wir (noch) keine eigene Instanz vom OBS nutzen, sondern im normalen Online-Service drinstecken, haben wir leider keine Möglichkeit darauf Einfluss zu nehmen. Dieses Verfahren ist weitesgehend automatisiert. Das passiert auch, wenn der Key ausläuft. Er wird automatisch neu erstellt und alles wird neu signiert, nur wann das passiert. Darauf haben wir leider keinen Einfluss. Das OBS-Team hat in den Mailinglisten angekündigt, dass Sie im Januar auf eine sichere SHA-Version umsteigen wollen. Wir können leider auch nur abwarten und hoffen. Sorry.
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
Benutzeravatar
n.wenselowski
Ex-uib-Team
Beiträge: 3194
Registriert: 04 Apr 2013, 12:15

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von n.wenselowski »

Hi,
damien.leviet hat geschrieben:Problem besteht leider weiterhin :/
Laut apt-get Manpage gibt es die Option --allow-unauthenticated. Es letzte Bastion kannst du es damit versuchen.

Wir haben ja vor ein paar Tagen ein Update herausgebracht und dabei gab es neue Pakete. Meine Hoffnung ist, dass dabei ein Signing statt fand. Besteht die Meldung weiterhin?


Gruß

Niko

Code: Alles auswählen

import OPSI
damien.leviet
Beiträge: 110
Registriert: 24 Feb 2014, 11:30

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von damien.leviet »

Das Problem besteht weiterhin :?

Code: Alles auswählen

root@srv-opsi:~# apt-get update
Hit:1 http://be.archive.ubuntu.com/ubuntu xenial InRelease
Hit:2 http://archive.canonical.com/ubuntu xenial InRelease
Hit:3 http://be.archive.ubuntu.com/ubuntu xenial-security InRelease
Hit:4 http://be.archive.ubuntu.com/ubuntu xenial-updates InRelease
Get:5 http://be.archive.ubuntu.com/ubuntu xenial-backports InRelease [102 kB]
Ign:6 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04 ./ InRelease
Hit:7 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04 ./ Release
Ign:8 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04 ./ Release.gpg
Fetched 102 kB in 0s (154 kB/s)
Reading package lists... Done
W: The repository 'http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/xUbuntu_16.04 ./ Release' is not signed.
N: Data from such a repository can't be authenticated and is therefore potentially dangerous to use.
N: See apt-secure(8) manpage for repository creation and user configuration details.
sschu
Beiträge: 18
Registriert: 16 Aug 2011, 18:16

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von sschu »

Bei Verwendung des Debian_8.0 Repos bekomme ich leider beim apt-get update die Meldung, dass die Signatur falsch sei bzw. wenn ich mit apt-key del den Key lösche, die Meldung, dass kein key vorhanden ist (aber leider eine Release.gpg vorhanden) weshalb apt-get gerne den key hätte...
sehr nervig... weder ein [allow-insecure=yes] noch ein allow-weak=yes noch ein trusted=yes in der /etc/apt/sources.list.d/opsi.list hilft :(
Was mich wundert, ist halt, dass apt-get update behauptet, dass das Repo nicht safe ist, weil die Signatur falsch ist...
Ein zweiter Opsi-Server unter meiner Hand, der noch auf Xubuntu 14.04 läuft, beschwert sich nur über SHA-1... was ja ok ist...

gibt es Tipps, an welchem Stellrad ich noch drehen könnte? Ist SHA1 evtl. in den openssl-Optionen aktivierbar, so dass dann apt-get zumindest feststellt, dass die Signatur gültig ist?
Benutzeravatar
ueluekmen
uib-Team
Beiträge: 1939
Registriert: 28 Mai 2008, 10:53

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von ueluekmen »

Hi,

probier mal folgendes (als root in der Shell):

Code: Alles auswählen

apt-key list

Code: Alles auswählen

pub   1024D/4DC87421 2010-07-23 [verfällt: 2019-04-27]
uid                  home:uibmz OBS Project <home:uibmz@build.opensuse.org>
Wenn du so einen Eintrag hast, dann lösche den Key mit:

Code: Alles auswählen

apt-key del 4DC87421
Danach sollte der Key nicht mehr auftauchen bei apt-key list

Du kannst den Key auch von der download.uib.de ziehen. Da ist der Key auch noch mal zur Sicherheit abgelegt:

Code: Alles auswählen

wget -O - http://download.uib.de/opsi4.0/Release.key | apt-key add -
Hilft das?
opsi support - uib gmbh
For productive opsi installations we recommend support contracts.
http://www.uib.de
sschu
Beiträge: 18
Registriert: 16 Aug 2011, 18:16

Re: OPSI Repository Signaturschlüsselfehler

Beitrag von sschu »

Hilft leider nicht:

nach apt-get update erscheint:

Code: Alles auswählen

Fehl:20 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0 ./ Release.gpg
  Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 520B97144DC87421
[...]
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0 ./ Release: Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 520B97144DC87421
W: Fehlschlag beim Holen von http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0/./Release.gpg  Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 520B97144DC87421
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.
Wenn ich dann den Schlüssel neu installiere meckert er beim apt-get update:

Code: Alles auswählen

Holen:9 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0 ./ Release.gpg [189 B]
Fehl:9 http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0 ./ Release.gpg
  Die folgenden Signaturen waren ungültig: 2371C96FC045365D00729A19520B97144DC87421
Es wurden 1.195 B in 1 s geholt (999 B/s).
Paketlisten werden gelesen... Fertig
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0 ./ Release: Die folgenden Signaturen waren ungültig: 2371C96FC045365D00729A19520B97144DC87421
W: Fehlschlag beim Holen von http://download.opensuse.org/repositories/home:/uibmz:/opsi:/opsi40/Debian_8.0/./Release.gpg  Die folgenden Signaturen waren ungültig: 2371C96FC045365D00729A19520B97144DC87421
W: Einige Indexdateien konnten nicht heruntergeladen werden. Sie wurden ignoriert oder alte an ihrer Stelle benutzt.
Antworten