Bertram12
Anmeldungsdatum: 16. März 2014
Beiträge: 363
|
UlfZibis schrieb: Hallo UlfZibis, dein post vom 4.10. klang für mich überzeugend, und da mich bei installiertem skype (als deb installiert) die durch <sudo apt update> ausgelöste Warnmeldung auch nervt, habe ich bei mir dies ausgeführt. > apt-key finger ## In der Ausgabe nach dem Schlüssel für Skype suchen.
> sudo apt-key -o /etc/apt/keyrings/skype-archive.asc export "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3"
> echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.asc] https://repo.skype.com/deb stable main" | sudo tee /etc/apt/sources.list.d/skype-stable.list
> sudo apt-key --keyring /etc/apt/trusted.gpg del "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3" dies habe ich nicht ausgeführt > sudo -H gpg --dearmor -o /etc/apt/keyrings/skype-archive.gpg /etc/apt/keyrings/skype-archive.asc
> sudo rm /etc/apt/keyrings/skype-archive.asc und diesen Halbsatz von dir habe ich nicht verstanden:
<<... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden.>> jedenfalls bekomme ich nach Durchführung der o.g. 4 Eingaben bei sudo apt update diese Meldung
<<«W: Fehlschlag beim Holen von https://repo.skype.com/deb/dists/stable/InRelease Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 1F3045A5DF7587C3»>> Könntest du das noch etwas erläutern?
<<... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden.>>
Moderiert von kB: In einen passenden Forenbereich verschoben. Bitte beachte die als wichtig markierten Themen („Welche Themen gehören hier her und welche nicht?“) im jeweiligen Forum! Danke.
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
Bertram12 schrieb: dein post vom 4.10. klang für mich überzeugend, und da mich bei installiertem skype (als deb installiert) die durch <sudo apt update> ausgelöste Warnmeldung auch nervt, habe ich bei mir dies ausgeführt. jedenfalls bekomme ich nach Durchführung der o.g. 4 Eingaben bei sudo apt update diese Meldung
Vermutlich bekamst Du schon bei sudo apt-key -o /etc/apt/keyrings/skype-archive.asc export "..." die Meldung Usage: apt-key [--keyring file] [command] [arguments] [...] , was einer Fehlermeldung gleichzusetzen ist. Offensichtlich ist die Option -o nicht (mehr) Bestandteil von apt-key . Der Befehl muss deshalb (jetzt) lauten: sudo apt-key export "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3" | sudo tee /etc/apt/keyrings/skype-archive.asc
<<«W: Fehlschlag beim Holen von https://repo.skype.com/deb/dists/stable/InRelease Die folgenden Signaturen konnten nicht überprüft werden, weil ihr öffentlicher Schlüssel nicht verfügbar ist: NO_PUBKEY 1F3045A5DF7587C3»>>
Das kommt, weil Du nun mit sudo apt-key ... del "..." den Original-Schlüssel schon gelöscht hast. So musst Du Skype jetzt erst mal komplett neu installieren (am besten erst mit sudo apt remove skypeforlinux deinstallieren, oder sudo apt reinstall skypeforlinux versuchen), um an diesen wieder dranzukommen. Dann die 4 bzw. 6 Befehle wiederholen, nun aber jedes mal genau schauen, ob jeder Befehl auch erfolgreich war.
Könntest du das noch etwas erläutern?
<<... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden.>>
Diese beiden optionalen Befehle machen aus dem Schlüssel im ASCII-Format einen binären Schlüssel, was allgemein empfohlen wird. Ein binärer Schlüssel hat dann die Endung .gpg statt .asc. Wenn Du also diese beiden Befehle nach dem 2. Befehl einfügst, musst Du in dem vormals 3. Befehl – durch den die Datei /etc/apt/sources.list.d/skype-stable.list erzeugt wird – .asc durch .gpg ersetzen. Das gibt dann insgesamt 6 Befehle. Mittlerweile habe ich festgestellt, dass bei der Aktualisierung von Skype die Datei /etc/apt/sources.list.d/skype-stable.list wieder durch die alte Version überschrieben und der Skype-Schlüssel wieder "verbotenerweise" in /etc/apt/trusted.gpg hinzugefügt wird. Big Brother M$ missachtet also weiterhin penetrant die Debian/Ubuntu Sicherheitsregeln. Zumindest war das bei mir so. Aber vielleicht haben sie es mittlerweile korrigiert ???
|
Bertram12
(Themenstarter)
Anmeldungsdatum: 16. März 2014
Beiträge: 363
|
UlfZibis schrieb: cool! es scheint geklappt zu haben.
Ich hab skype (wieder aus den Paketquellen) neu installiert.
Dann die folgenden Eingaben nach deinen Ideen:
bertram@bertram-D2812:~$ apt-key finger
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
/etc/apt/trusted.gpg
--------------------
<...>
pub rsa2048 2016-06-22 [SC]
D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3
uid [ unbekannt] Skype Linux Client Repository <se-um@microsoft.com>
<...>
bertram@bertram-D2812:~$ sudo apt-key export "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3" | sudo tee /etc/apt/keyrings/skype-archive.asc
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
-----BEGIN PGP PUBLIC KEY BLOCK-----
mQENBFdqXCMBCADo6FW/k96vykC6E7GOC3MWcso1suj4dCWwqoYetyIExxFlUapV
<...>
-----END PGP PUBLIC KEY BLOCK-----
bertram@bertram-D2812:~$ sudo -H gpg --dearmor -o /etc/apt/keyrings/skype-archive.gpg /etc/apt/keyrings/skype-archive.asc
bertram@bertram-D2812:~$ sudo rm /etc/apt/keyrings/skype-archive.asc
bertram@bertram-D2812:~$ echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.gpg] https://repo.skype.com/deb stable main" | sudo tee /etc/apt/sources.list.d/skype-stable.list
deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.gpg] https://repo.skype.com/deb stable main
bertram@bertram-D2812:~$ sudo apt-key --keyring /etc/apt/trusted.gpg del "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3"
Warning: apt-key is deprecated. Manage keyring files in trusted.gpg.d instead (see apt-key(8)).
OK Dies Zeichen <...> habe ich eingefügt, dort wo ich terminal-Ausgaben gekürzt habe. Nachdem alles durchgelaufen war, habe ich diese Aktualisierung gestartet
<sudo apt-get update && sudo apt-get dist-upgrade>
und die nervige skype-Warnung tauchte nicht wieder auf! Danke!
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
Bertram12 schrieb: cool! es scheint geklappt zu haben.
Schön, dann bin ich gespannt, was beim nächsten Update von Skype bei Dir passiert. Nachdem alles durchgelaufen war, habe ich diese Aktualisierung gestartet
<sudo apt-get update && sudo apt-get dist-upgrade>
und die nervige skype-Warnung tauchte nicht wieder auf! Danke!
Mit apt-get dist-upgrade sollte man vorsichtig sein, da dann manchmal auch Pakete gelöscht werden, die man vielleicht noch haben will. Besser erst mal nur apt-get upgrade bzw. apt upgrade verwenden. Siehe apt/apt (Abschnitt „Vergleiche-apt-get-apt“).
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
UlfZibis schrieb: Deshalb möchte ich vorschlagen, in den Artikel eine Anleitung aufzunehmen, wie man falsch abgelegte Schlüssel an die richtige Stelle bugsiert. Für Skype sieht das z.B. so aus (erst mal den Fingerprint kontrollieren): apt-key finger ## In der Ausgabe nach dem Schlüssel für Skype suchen.
sudo apt-key -o /etc/apt/keyrings/skype-archive.asc export "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3"
echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.asc] https://repo.skype.com/deb stable main" | sudo tee /etc/apt/sources.list.d/skype-stable.list
sudo apt-key --keyring /etc/apt/trusted.gpg del "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3" Wenn man es ganz toll machen will, kann man den Schlüssel vorher auch noch "entwaffnen" mit: sudo -H gpg --dearmor -o /etc/apt/keyrings/skype-archive.gpg /etc/apt/keyrings/skype-archive.asc
sudo rm /etc/apt/keyrings/skype-archive.asc ... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden.
Hier ist ein Fehler drin. Die Korrektur ist durch Aufteilung nun dort zu finden.
|
kB
Supporter, Wikiteam
Anmeldungsdatum: 4. Oktober 2007
Beiträge: 9043
Wohnort: Münster
|
UlfZibis schrieb: UlfZibis schrieb: Deshalb möchte ich vorschlagen, in den Artikel eine Anleitung aufzunehmen, wie man falsch abgelegte Schlüssel an die richtige Stelle bugsiert.
Die Anleitung wäre trivial für alle Leute, die bereit sind, ihr Hirn einzuschalten:
Wenn man etwas falsch gemacht hat, löscht man das unbrauchbare Ergebnis. Man macht es noch einmal, diesmal richtig.
Ich glaube aber, vernünftige Wiki-Leser benötigen dieses Rezept nicht.
Für Skype sieht das z.B. so aus (erst mal den Fingerprint kontrollieren): > apt-key finger ## In der Ausgabe nach dem Schlüssel für Skype suchen.
> sudo apt-key -o /etc/apt/keyrings/skype-archive.asc export "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3"
> echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/skype-archive.asc] https://repo.skype.com/deb stable main" | sudo tee /etc/apt/sources.list.d/skype-stable.list
> sudo apt-key --keyring /etc/apt/trusted.gpg del "D404 0146 BE39 7250 9FD5 7FC7 1F30 45A5 DF75 87C3"
> Wenn man es ganz toll machen will, kann man den Schlüssel vorher auch noch "entwaffnen" mit: > sudo -H gpg --dearmor -o /etc/apt/keyrings/skype-archive.gpg /etc/apt/keyrings/skype-archive.asc
> sudo rm /etc/apt/keyrings/skype-archive.asc
> ... und dann die Endung .gpg in /etc/apt/sources.list.d/skype-stable.list verwenden.
Hier ist ein Fehler drin.
Ein Fehler? Ich sehe 5. Genauer: Im ersten Block kann nur die dritte Zeile eventuell richtig sein und im zweiten Block ist die zweite Zeile zwar nicht per se falsch, vernichtet aber alles, was man vorher eventuell richtig gemacht haben könnte. Vielleicht habe ich weitere Fehler übersehen.
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
kB schrieb: Die Anleitung wäre trivial für alle Leute, die bereit sind, ihr Hirn einzuschalten:
Aha! Unter der Logik ist das Wiki UU.de also überflüssig.
Ein Fehler? Ich sehe 5. Genauer: Im ersten Block kann nur die dritte Zeile eventuell richtig sein
Wo sind denn die 4 anderen Fehler? Du meinst also, dass das Entfernen eines Fremdschlüssels, hier von M$, aus /etc/apt/trusted.gpg ein Fehler ist, obwohl genau darüber sich die apt update -Warnung beschwert.
|
hife
Anmeldungsdatum: 22. April 2009
Beiträge: 62
|
Mit dieser Vorgehensweise gibt es folgendes Problem: Skype richtet beim Update das eigene PPA erneut in der veralteten Version ein und fügt auch den Schlüssel wieder in trusted.gpg ein. Bei anderen Programmen, die das machen, etwa Geogebra, steht in der /etc/apt/sources.list.d/geogebra.list
### THIS FILE IS AUTOMATICALLY CONFIGURED ###
# You may comment out this entry, but any other modifications may be lost.
#deb http://www.geogebra.net/linux/ stable main Dann kann man als Workaround, die Zeile auskommentieren und eine eigene Datei /etc/apt/sources.list.d/geogebra-user-created.list mit # user created
deb [signed-by=/etc/apt/keyrings/geogebra.gpg] http://www.geogebra.net/linux/ stable main # Geogebra Classic (user created) anlegen. Das funktioniert bei Skype leider nicht, da /etc/apt/sources.list.d/skype-stable.list bei der Aktualisierung ohne Rücksicht auf den Inhalt überschrieben wird. Das führt dann zu einem Fehler in APT, da die Quelle dann doppelt konfiguriert ist:
sudo apt-get update
E: Widersprüchliche Werte gesetzt für Option Signed-By betreffend die Quelle https://repo.skype.com/deb/ stable: /etc/apt/keyrings/skype-archive.gpg !=
E: Die Liste der Quellen konnte nicht gelesen werden. Weitere Bemerkung: Auch bei Geogebra wird der Key automatisch ständig wieder in trusted.gpg eingefügt, sogar durch einen täglichen Cron-Job. Auch Vivaldi hat so einen Cron-Job, der aber immerhin in trusted.d/ schreibt. Insgesamt scheint es mir zur Zeit noch ziemlich schwierig gegen die automatischen unsicheren Konfigurationen der Paketersteller anzukämpfen ohne alles selbst zu kompilieren. Oder gibt es einen Weg diese Automatismen bei der Installation zu verhindern?
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
hife schrieb: Mit dieser Vorgehensweise gibt es folgendes Problem: Skype richtet beim Update das eigene PPA erneut in der veralteten Version ein und fügt auch den Schlüssel wieder in trusted.gpg ein.
Ja so ist es leider. Weiß auch nicht, wie man das ändern kann, außer manuell immer wieder korrigieren.
|
Malsabku
Anmeldungsdatum: 15. Juni 2023
Beiträge: Zähle...
|
Warum so kompliziert? Skype kann man mit Ubuntu-Bordmitteln mit einem kurzen Einzeiler installieren:
sudo snap install skype Schon hat man Skype installiert, man hat immer automatisch die neueste Version, und man muss sich nie wieder irgendwelche Repositiories oder Abhängigkeiten kümmern.
|
san04
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1200
|
da /etc/apt/sources.list.d/skype-stable.list bei der Aktualisierung ohne Rücksicht auf den Inhalt überschrieben wird. Das führt dann zu einem Fehler in APT, da die Quelle dann doppelt konfiguriert ist:
Hier würde ich mal ansetzen und ein Versuch wäre es, genau das verbieten um nicht immer händisch nachzukonfigurieren:
sudo chattr +i /etc/apt/sources.list.d/skype-stable.list Für den möglichen Fall, dass sich der Link zum Repo dann während eines Updates mal ändert wird er natürlich auch nicht angepasst. Ich vermute das passiert nicht oft, aber dann müsste man natürlich zuvor mit sudo chattr -i /etc/apt/sources.list.d/skype-stable.list die Datei erst wieder freigeben. (Spätestens sonst wenn Skype endlich ihr Repo auf Stand gebracht hat) Sonst fallen mir da gerade keine weiteren Fallstricke ein, heißt aber nicht, dass es sie nicht gibt, also ohne Gewähr 😇 Malsabku schrieb: Schon hat man Skype installiert, man hat immer automatisch die neueste Version, und man muss sich nie wieder irgendwelche Repositiories oder Abhängigkeiten kümmern.
Dafür hat man das Snap-Geraffel an der Backe, will man ja möglicherweise auch nicht 😉
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
san04 schrieb: Hier würde ich mal ansetzen und ein Versuch wäre es, genau das verbieten um nicht immer händisch nachzukonfigurieren:
sudo chattr +i /etc/apt/sources.list.d/skype-stable.list
Ich habe das mal so gemacht, und zufällig kam gerade ein Skype-Update herein. Hier das Ergebnis: $ sudo apt upgrade
Paketlisten werden gelesen… Fertig
Abhängigkeitsbaum wird aufgebaut… Fertig
Statusinformationen werden eingelesen… Fertig
Paketaktualisierung (Upgrade) wird berechnet… Fertig
Get more security updates through Ubuntu Pro with 'esm-apps' enabled:
libimage-magick-perl imagemagick libopusfile0 jhead libjs-jquery-ui
libopenexr25 libmagickcore-6.q16-6-extra libimage-magick-q16-perl
libmagickwand-6.q16-6 imagemagick-6.q16 libmagickcore-6.q16-6
imagemagick-6-common
Learn more about Ubuntu Pro at https://ubuntu.com/pro
Die folgenden Pakete sind zurückgehalten worden:
grub-common grub-pc grub-pc-bin grub2-common
Die folgenden Pakete werden aktualisiert (Upgrade):
skypeforlinux
1 aktualisiert, 0 neu installiert, 0 zu entfernen und 4 nicht aktualisiert.
Es müssen 126 MB an Archiven heruntergeladen werden.
Nach dieser Operation werden 2.176 kB Plattenplatz freigegeben.
Möchten Sie fortfahren? [J/n] j
Holen:1 https://repo.skype.com/deb stable/main amd64 skypeforlinux amd64 8.98.0.407 [126 MB]
Es wurden 126 MB in 1 min 48 s geholt (1.166 kB/s).
(Lese Datenbank ... 339321 Dateien und Verzeichnisse sind derzeit installiert.)
Vorbereitung zum Entpacken von .../skypeforlinux_8.98.0.407_amd64.deb ...
Entpacken von skypeforlinux (8.98.0.407) über (8.98.0.402) ...
skypeforlinux (8.98.0.407) wird eingerichtet ...
Trigger für bamfdaemon (0.5.6+22.04.20220217-0ubuntu1) werden verarbeitet ...
Rebuilding /usr/share/applications/bamf-2.index...
Trigger für desktop-file-utils (0.26-1ubuntu3) werden verarbeitet ...
Trigger für hicolor-icon-theme (0.17-2) werden verarbeitet ...
Trigger für gnome-menus (3.36.0-1ubuntu3) werden verarbeitet ...
Trigger für mailcap (3.70+nmu1ubuntu1) werden verarbeitet ...
Wie man sieht, wurden keine Fehler gemeldet, und /etc/apt/sources.list.d/skype-stable.list blieb unverändert. Allerdings wurde wieder eine neue /etc/apt/trusted.gpg angelegt, und darin wieder der Skype-Schlüssel abgelegt. Man muss also auch diese Datei mittels leerem Dummy schützen: sudo rm /etc/apt/trusted.gpg
sudo touch /etc/apt/trusted.gpg
sudo chattr +i /etc/apt/trusted.gpg Nun bin ich dann mal gespannt, ob das nächste Update dann auch noch fehlerfrei durchgeht. Danke für den genialen Tipp. 👍
|
Kätzchen
Anmeldungsdatum: 1. Mai 2011
Beiträge: 6843
Wohnort: Technische Republik
|
Malsabku schrieb: sudo snap install skype
Willkommen Malsabku ☺ Wenn man Skype so wie du es vorschlägst installiert gewährt man Microsoft auch keinen Root Zugriff auf die Paketverwaltung!
|
san04
Anmeldungsdatum: 19. Januar 2010
Beiträge: 1200
|
UlfZibis schrieb: Allerdings wurde wieder eine neue /etc/apt/trusted.gpg angelegt, und darin wieder der Skype-Schlüssel abgelegt. Man muss also auch diese Datei mittels leerem Dummy schützen
Da könntest du natürlich potentiell Ärger beim Hinzufügen anderer Repos kriegen, die auch noch die trusted.gpg nutzen, bzw. musst dann halt nochmal selbst Hand anlegen...
|
UlfZibis
Anmeldungsdatum: 13. Juli 2011
Beiträge: 3082
Wohnort: Köln
|
san04 schrieb: Da könntest du natürlich potentiell Ärger beim Hinzufügen anderer Repos kriegen, die auch noch die trusted.gpg nutzen, bzw. musst dann halt nochmal selbst Hand anlegen...
👍 Bei mir ist da zur Zeit glücklicherweise nix drin. Wenn das aus irgendwelchen Gründen für ein anderes Repo nötig sein sollte, muss man dann halt die Datei kurz entsperren, und danach wieder sperren.
|