Änderungen bei Launchpad

Canonical hat Launchpad auf den neusten Stand gebracht. Die für den Endanwender auffälligste Änderung ist, dass die Pakete in den PPAs endlich signiert werden.

Wollte man bis jetzt ein Paket aus den PPAs über die Paketverwaltung installieren, bekam man die Fehlermeldung präsentiert, dass einige Pakete nicht authentifiziert werden konnten, und das man damit sein System potentiell in Gefahr bringen kann. Diese nicht gerade vertrauensbildende Warnmeldung gehört jetzt endlich der Vergangenheit an, da ab jetzt alle Pakete mit einem Schlüssel signiert werden.

Fügt man jetzt ein PPA zu seinen Paketquellen hinzu, kann man auch den entsprechenden Schlüssel einfügen, und man kann wie gewohnt die Software installieren, ohne die Warnmeldung präsentiert zu bekommen.

Um den Schlüssel zu seinem System hinzu zu fügen, gibt es zwei Möglichkeiten:

Die einfachere Variante¶

Auf der Übersichtsseite des PPAs befindet sich unter den Einträgen für die sources.list der Links zu dem Schlüssel. Folgt man diesem gelangt man zu der Klartextansicht des Schlüssels. Diesen speichert man in einer Textdatei, und fügt ihn über die Paketverwaltung hinzu.

Per Terminal¶

Auf der Übersichtsseite des PPAs ist der Schlüssel über seinen Fingerabdruck verlinkt. Diesen Fingerabdruck kopiert man und fügt ihn in folgenden Befehl ein:

gpg --no-default-keyring --keyring /tmp/awn.keyring --keyserver keyserver.ubuntu.com --recv  <FINGERABDRUCK> && gpg --no-default-keyring --keyring /tmp/awn.keyring --export --armor <FINGERABDRUCK> | sudo apt-key add - && rm /tmp/awn.keyring

Ausführlicher wird das Einfügen der Schlüssel auf der Hilfeseite von Launchpad erklärt {en} .

Achtung!

Fremdpakete können das System gefährden.

Danke an e2b für den Hinweis

geschrieben von rocco_storm am 2. Februar 2009 um 22:54 Uhr in Rund um Ubuntu Rechtschreibfehler melden

mrtom.world

1. Verfasst: 2. Februar 2009 22:59

ah endlich. vielen dank für den eintrag. gruß

volrot

2. Verfasst: 3. Februar 2009 11:35

Hallo, toll, leider ist es für einen wie mich unverständlich erklärt, die Zeile gpg.. meldet Fehler. Übersichtsseite ppa ?? Ist das http://ppa.launchpad.net? Wo ist da der Schlüssel? Der link source.list führt Richtung Wiki statt link zum Schlüssel?

rocco_storm

3. Verfasst: 3. Februar 2009 12:07

@2: Jedes PPA hat einen eigenen Schlüssel, und du musst dann natürlich auf die Übersichtsseite des PPA von dem Paket gehen, welches du installiert hast bzw. installieren willst. Für Gnome-Do wäre das zum Beispiel https://launchpad.net/~do-core/+archive/ppa.

Dort ist dann einmal ein Kasten mit den apt sources.list entries und da drunter steht

"This repository is signed with A5D19FDCAA6ABB440CD3464628A8205077558DD0 OpenPGP key"

Diese wirre Zahlen-Buchstaben-Reihe ist der Link zu dem Schlüssel.

joelue

4. Verfasst: 3. Februar 2009 15:34

Sehr gute Sache, aber wie kann ich aus dem Eintrag in meiner sources.list rausfinden, wo die Übersichtsseite liegt, um den Schlüssel zu laden?

joelue

5. Verfasst: 3. Februar 2009 16:00

Falls noch jemand das Problem haben sollte, nur die Einträge in der souces.list zu haben: So kommt ihr auf die Seite:

sources.list: deb http://ppa.launchpad.net/<name>/ubuntu/ ...

Die Übersichtsseite ist dann: https://launchpad.net/~<name>/+archive/ppa

Ubuntuxer

6. Verfasst: 3. Februar 2009 18:15

Um automatisch für alle eure PPAs den Schlüssel zu installieren, könnt ihr dieses Script benutzen. Bei mir hats super bei mir funktioniert.

Im Moment ist es noch etwas umständlich den Key zu installieren, aber ich habe gelesen, dass es schon Pläne für eine Vereinfachung gibt.

jo-we

7. Verfasst: 3. Februar 2009 18:20

Man muss angemeldet sein, um das Script herunterzuladen.

Maduser

8. Verfasst: 3. Februar 2009 18:44

Vielleicht sollte man hier auch noch erwähnen das sich alle ppa Adressen ändern: von ppa.launchpad.net/user/ubuntu auf ppa.launchpad.net/user/ppa/ubuntu.

Aktuelle gehen beide Varianten, aber nach einer Übergangszeit wird die alte abgeschaltet. Also am besten Überprüfen, ob man ppas in den Quellen hat und aktualisieren.

Ubuntuxer

9. Verfasst: 3. Februar 2009 19:02

Ich hab das Script aus dem ubuntuforums.org mal hier hochgeladen.

jo-we

10. Verfasst: 3. Februar 2009 19:49

Danke dir Ubuntuxer.

MaxPowers82

11. Verfasst: 3. Februar 2009 21:27

Das importieren der Schlüssel klappt bei mir nur, wenn ich vorher sudo -i eingebe, mir also dauerhaft root-Rechte verschaffe. Schreibe ich dagegen vor jeden Befehl der Anleitung ein "sudo" erscheint folgende Fehlermeldung:

gpg: WARNUNG: Unsicheres Besitzverhältnis der Konfigurationsdatei `/home/max/.gnupg/gpg.conf'
gpg: Ausführen von externen Programmen ist ausgeschaltet, da die Dateirechte nicht sicher sind
gpg: Kommunikation mit Schlüsselserver fehlgeschlagen: Allgemeiner Fehler
gpg: Empfangen vom Schlüsselserver fehlgeschlagen: Allgemeiner Fehler

Tritt das noch bei jemandem auf ?

Schumbi