Projet

Général

Profil

Mise à jour du trousseau de clefs des dépôts EOLE

Impacte les versions 2.4, 2.5.0 et 2.5.1. Les versions 2.5.2 et supérieures ne sont pas impactées.
Ajouté par Daniel Dehennin il y a presque 6 ans

Certaines clefs de signature des dépôts de paquets EOLE sont arrivées à expiration hier mardi 29 mai 2018.

Cela entraîne l’impossibilité de mettre à jour les paquets EOLE ou de migrer les serveurs. Les mises à jour Ubuntu ne sont pas impactées.

Les versions 2.5.2 et supérieures ne sont pas impactées.

Les versions EOLE impactées sont :

  • les versions non supportées 2.4 (2.4.0 → 2.4.2)
  • les versions supportées 2.5.0 et 2.5.1.

Afin de vous permettre de migrer vos serveurs vers les dernières versions, nous avons créé de nouvelles clefs.

Le déploiement de ce nouveau trousseau de clefs est indispensable à l’exécution des commandes :

  • Query-Auto
  • Maj-Auto
  • Maj-Release
  • Upgrade-Auto

Celles-ci doivent être déployées manuellement sur les serveurs impactés.

Deux méthodes de déploiement sont possibles :

  • Par l’installation du paquet Debian
    • Paquet du nouveau trousseau de clefs : eole-archive-keyring_2018.05.30-1_all.deb
    • SHA512 du paquet : 1e37611c94b408a015dfa24f48da863320d4c87abee4031f9b6357700cb4b1bf066473621637e452a771672325726c033c31c07d7f64480ebc477e4f15a1df58
  • Par l’installation direct du fichier du trousseau de clefs GPG
    • Fichier du nouveau trousseau de clefs fixed-eole-archive-keyring.gpg
    • SHA512 du fichier du nouveau trousseau de clefs : 15292c3baa96774d55fdac4397ab567b0ccdc0e05b11bd3d05731cbb865197d90d10d1c85764d71850f83d5c4a7130a5b6c4bb49a58121d38ba0d88f60d3a655

Installation du nouveau trousseau de clefs par Zéphir

Vous devez disposer d’une variante personnalisée afin d’ajouter le nouveau trousseau de clefs en fichier divers :

  1. Téléchargez sur votre ordinateur le fichier du nouveau trousseau de clefs fixed-eole-archive-keyring.gpg
  2. Modifiez votre variante
  3. Dans les Fichiers divers de votre variante
    1. Sélectionnez le fichier du nouveau trousseau de clefs fixed-eole-archive-keyring.gpg
    2. Définissez le chemin de destination à : /etc/apt/trusted.gpg.d/fixed-archive-keyring.gpg
    3. Validez les modifications
  4. Exécutez l’envoi des fichiers divers sur les serveurs de votre variante
    1. Définissez un groupe correspondant à votre variante
    2. Exécutez une action sur votre groupe de serveur
      1. Sélectionnez Envoyer la configuration au serveur Fichiers Divers/paquets avec la case lancer reconfigure décochée

NB: nous utilisons le nom fixed-eole-archive-keyring.gpg afin de ne pas supprimer malencontreusement le trousseau de clefs fourni par le paquet lors d’une suppression future du fichier divers de la variante.

Installation du paquet Debian du nouveau trousseau de clefs

  • Téléchargez le paquet
    root@server:~# wget http://eole.ac-dijon.fr/eole/pool/main/e/eole-keyring/eole-archive-keyring_2018.05.30-1_all.deb
    
  • Vérifiez la somme de contrôle SHA512
    root@server:~# sha512sum eole-archive-keyring_2018.05.30-1_all.deb 
    1e37611c94b408a015dfa24f48da863320d4c87abee4031f9b6357700cb4b1bf066473621637e452a771672325726c033c31c07d7f64480ebc477e4f15a1df58  eole-archive-keyring_2018.05.30-1_all.deb
    
  • Installez le paquet
    root@server:~# dpkg -i eole-archive-keyring_2018.05.30-1_all.deb 
    (Lecture de la base de données... 125223 fichiers et répertoires déjà installés.)
    Préparation du dépaquetage de eole-archive-keyring_2018.05.30-1_all.deb ...
    Dépaquetage de eole-archive-keyring (2018.05.30-1) sur (2018.05.29-1) ...
    Paramétrage de eole-archive-keyring (2018.05.30-1) ...
    OK
    OK
    
  • Vérifiez la présence des clefs
    root@server:~# apt-key list
    /etc/apt/trusted.gpg
    --------------------
    […]
    /etc/apt/trusted.gpg.d/eole-archive-keyring.gpg
    -----------------------------------------------
    pub   4096R/4E78A3F5 2012-05-30 [expire : 2021-05-28]
    uid                  EOLE Repository (EOLE 2.4/Precise Pangolin) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/70F54E66 2018-05-30 [expire : 2022-05-29]
    uid                  EOLE Repository (EOLE 2.5/Trusty Tahr) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/5F91A2ED 2018-05-30 [expire : 2024-05-28]
    uid                  EOLE Repository (EOLE 2.6/Xenial Xerus) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/FCA05930 2018-05-30 [expire : 2026-05-28]
    uid                  EOLE Repository (EOLE 2.7/Bionic Beaver) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/4D7EF207 2018-05-30 [expire : 2021-05-29]
    uid                  Envole Repository (Envole 4) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/23F7263D 2018-05-30 [expire : 2022-05-29]
    uid                  Envole Repository (Envole 5) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/70F76D02 2018-05-30 [expire : 2024-05-28]
    uid                  Envole Repository (Envole 6) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/00F855DF 2016-03-23 [expire : 2024-05-28]
    uid                  EOLE ISO Automatic Signing Key (EOLE 2.6/Xenial Xerus) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/64BD9B63 2018-05-30 [expire : 2026-05-28]
    uid                  EOLE ISO Automatic Signing Key (EOLE 2.7/Bionic Beaver) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/C87937E0 2017-02-06 [expire : 2022-05-29]
    uid                  EOLE Samba Repository (Samba 4.5) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/3DE94972 2018-05-30 [expire : 2022-05-29]
    uid                  EOLE Samba Repository (Samba 4.6) <repository@listeseole.ac-dijon.fr>
    
    pub   4096R/98747727 2018-05-30 [expire : 2024-05-28]
    uid                  EOLE Samba Repository (Samba 4.7) <repository@listeseole.ac-dijon.fr>
    

fixed-eole-archive-keyring.gpg (15,5 ko) Daniel Dehennin, 30/05/2018 15:36


Commentaires