Переопределение проверки безопасности apt-get в Debian 9 (stretch) для обновления Cloudera

Вопрос или проблема

deb [trusted=yes] http://archive.cloudera.com/cdh5/debian/jessie/amd64/cdh jessie-cdh5 contrib

# apt-get --allow-unauthenticated update
# apt-get --allow-unauthenticated upgrade

APT{ Get { AllowUnauthenticated "1"; }; };

Err:4 http://archive.cloudera.com/cdh5/debian/jessie/amd64/cdh jessie-cdh5 InRelease
  The following signatures were invalid: F36A89E33CC1BD0F71079007327574EE02A818DD
Error: GDBus.Error:org.freedesktop.DBus.Error.TimedOut: Failed to activate service 'org.freedesktop.PackageKit': timed out
Reading package lists... Done
W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://archive.cloudera.com/cdh5/debian/jessie/amd64/cdh jessie-cdh5 InRelease: The following signatures were invalid: F36A89E33CC1BD0F71079007327574EE02A818DD
W: Failed to fetch http://archive.cloudera.com/cdh5/debian/jessie/amd64/cdh/dists/jessie-cdh5/InRelease  The following signatures were invalid: F36A89E33CC1BD0F71079007327574EE02A818DD

Ответ или решение

У вас возникла проблема с обновлением пакетов Cloudera на серверах с операционной системой Debian 9 (Stretch). Ваша проблема связана с тем, что Debian 9 считает, что подпись GPG для пакетов Cloudera недействительна, поскольку они были выпущены для более старой версии Debian 8 (Jessie). Давайте разберем, как можно обойти эту проблему и выполнить обновление, даже если GPG-ключ не проходит проверку доверия.

Анализ проблемы

Ключ GPG, используемый для подписания пакетов Cloudera, был действительным для Debian 8, но Debian 9 требует более строгих мер безопасности и может отказывать в их принятии. Ваша текущая конфигурация включает попытки:

• Добавления [trusted=yes] в sources.list
• Использования флага --allow-unauthenticated в apt-get
• Сообщения APT о допустимости некорректных подписей с помощью apt.conf.d

Все перечисленные способы не привели к успеху. Давайте обсудим, какие шаги можно предпринять для решения этой проблемы.

Решение

1. Удаление недействительного GPG-ключа:
   Вы можете попробовать удалить локально проблемный GPG-ключ. Это позволит заставить систему считать, что нет подписей для этих пакетов, и применять опции для неаутентифицированных пакетов. Выполните в терминале следующую команду:

   sudo apt-key del F36A89E33CC1BD0F71079007327574EE02A818DD

2. Обновление индексов пакетов:
   После удаления ключа выполните:

   sudo apt-get update

   Эта команда обновит индексы пакетов и не будет пытаться проверить недействительные подписи, так как они были удалены.

3. Обход проверки подлинности:
   Если после удаления ключа вам все еще нужно обновить пакеты с игнорированием проверок подлинности, попробуйте снова применить флаги без проверки подлинности:

   sudo apt-get --allow-unauthenticated upgrade

4. Создание файла конфигурации для обхода проверки:
   Если стандартные способы не работают, создайте файл /etc/apt/apt.conf.d/99ignore с содержанием:

   APT {
      Get {
          AllowUnauthenticated "1";
      };
   };

   Этот файл задает конфигурацию, позволяющую системе игнорировать подписи для всех пакетов.

Риски и рекомендации

Обход проверки GPG-подписей может нести в себе определенные риски, такие как установка неподтвержденного ПО, которое может быть небезопасным. Всегда рекомендуется использовать эту практику только в тех случаях, когда вы точно уверены в источниках пакетов и их содержимом. Рассмотрите возможность создания отдельной виртуальной машины или среды для тестирования до развертывания обновлений на рабочей инфраструктуре.

Следуя вышеописанным шагам, вы сможете обновить пакеты Cloudera на Debian 9, избегая проблем с подписанными GPG-ключами.