报错:
warning: /var/cache/yum/x86_64/7/influxdata/packages/telegraf-1.26.3-1.x86_64.rpm: Header V4 RSA/SHA512 Signature, key ID 7df8b07e: NOKEY
解决方案:
https://www.influxdata.com/blog/linux-package-signing-key-rotation/
配置 Linux 主机以使用新的签名密钥
新密钥的指纹是9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E。
基于 DEB 的系统
-
获取并验证新密钥:
$ wget -q https://repos.influxdata.com/influxdata-archive_compat.key $ gpg --with-fingerprint --show-keys ./influxdata-archive_compat.key pub rsa4096 2023-01-18 [SC] [expires: 2026-01-17] 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E uid InfluxData Package Signing Key <support@influxdata.com>
-
安装新密钥:
$ cat influxdata-archive_compat.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg > /dev/null
-
更新您的 APT 源以使用新密钥:
$ echo 'deb [signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg] https://repos.influxdata.com/debian stable main' | sudo tee /etc/apt/sources.list.d/influxdata.list
-
清理旧密钥:
$ sudo rm -f /etc/apt/trusted.gpg.d/influxdb.gpg
-
确认没有为 https://repos.influxdata.com 返回错误
sudo apt-get update
更新:Linux 软件包签名密钥轮换
更新 2023-01-26:截至 2023-01-26,InfluxData 的 Linux 打包签名密钥已经轮换。用户应更新其配置以使用新密钥。
原文 2023-01-24: 1 月 4 日,CircleCI 发出警报,建议所有 CircleCI 用户轮换他们的秘密。InfluxData 是 CircleCI 的客户,因此,出于谨慎考虑,我们正在主动轮换存储在 CircleCI 中的所有秘密。
InfluxData 将 CircleCI 用于各种产品,并且05CE 1508 5FC0 9D18 E99E FB22 684A 14CF 2582 E0C5在曝光期间将带有指纹的 Linux 打包签名密钥存储在 CircleCI 中。InfluxData 将轮换此签名密钥,因此,Linux DEB 和 RPM 用户必须配置他们的系统以使用新密钥。
官方 InfluxData 存储库没有受到损害,并且 InfluxData 已验证由此密钥签名并可通过官方存储库检索的软件未被修改。此外,虽然假设的攻击者可以使用此密钥对看起来像是来自 InfluxData 的二进制文件进行签名,但攻击者无法访问官方存储库以将它们传送到您的主机。
我们分两个阶段轮换密钥签名密钥:
-
在 2023-01-26,我们将开始使用带有指纹的新 Linux 软件包签名密钥
9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E -
在 2023-04-27,我们将撤销带有指纹的旧 Linux 软件包签名密钥
05CE 1508 5FC0 9D18 E99E FB22 684A 14CF 2582 E0C5
一旦新密钥推出到官方 InfluxData 存储库,基于 DEB 和 RPM 的 Linux 系统将无法再下载和/或验证来自 InfluxData 存储库的软件,直到进行以下配置更改。InfluxData 将提供此帖子的更新,指示新密钥何时到位。
配置 Linux 主机以使用新的签名密钥
新密钥的指纹是9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E。
基于 DEB 的系统
-
获取并验证新密钥:
$ wget -q https://repos.influxdata.com/influxdata-archive_compat.key $ gpg --with-fingerprint --show-keys ./influxdata-archive_compat.key pub rsa4096 2023-01-18 [SC] [expires: 2026-01-17] 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E uid InfluxData Package Signing Key <support@influxdata.com>
-
安装新密钥:
$ cat influxdata-archive_compat.key | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg > /dev/null
-
更新您的 APT 源以使用新密钥:
$ echo 'deb [signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg] https://repos.influxdata.com/debian stable main' | sudo tee /etc/apt/sources.list.d/influxdata.list
-
清理旧密钥:
$ sudo rm -f /etc/apt/trusted.gpg.d/influxdb.gpg -
确认没有为 https://repos.influxdata.com 返回错误
sudo apt-get update
以上指定了最新文档中文件和配置的路径。使用不同文件的用户/etc/apt/sources.list.d/influxdata.list需要更新文件才能使用。同样,将旧密钥安装在不同位置的用户需要使用该位置来删除旧密钥。signed-by=/etc/apt/trusted.gpg.d/influxdata-archive_compat.gpg/etc/apt/trusted.gpg.d/influxdb.gpg
基于 RPM 的系统
-
更新您的 YUM 存储库配置以使用新密钥:
$cat <<EOF | sudo tee /etc/yum.repos.d/influxdata.repo [influxdata] name = InfluxData Repository - Stable baseurl = https://repos.influxdata.com/stable/\$basearch/main enabled = 1 gpgcheck = 1 gpgkey = https://repos.influxdata.com/influxdata-archive_compat.key EOF
-
从 repo 中提取的下一个 YUM 操作将更新密钥:
$ sudo yum update && sudo yum install telegraf Importing GPG key 0x7DF8B07E: Userid : "InfluxData Package Signing Key <support@influxdata.com>" Fingerprint: 9D53 9D90 D332 8DC7 D6C8 D3B9 D8FF 8E1F 7DF8 B07E From : https://repos.influxdata.com/influxdata-archive_compat.key Is this ok [y/N]: y -
清理旧密钥:
$ sudo rpm --erase gpg-pubkey-2582e0c5-56099b04
以上指定了最新文档中的配置路径。使用不同文件的用户/etc/yum.repos.d/influxdata.repo需要更新文件才能使用。gpgkey = https://repos.influxdata.com/influxdata-archive_compat.key
