Шаги ==== 1. # apt-get install -y apt-gpgkeys-pki 2. # gpg --homedir /etc/pki/apt-gpg/extracted/ --list-key 3BD31283 Фактический результат ===================== # gpg --homedir /etc/pki/apt-gpg/extracted/ --list-key 3BD31283 > gpg: ВНИМАНИЕ: небезопасные права доступа к домашнему каталогу `/etc/pki/apt-gpg/extracted/' > pub 4096R/3BD31283 2022-03-01 [ годен до: 2032-02-27] > uid Kernel Bot <kernelbot@altlinux.org> # namei -om /etc/pki/apt-gpg/extracted/ > f: /etc/pki/apt-gpg/extracted/ > drwxr-xr-x root root / > drwxr-xr-x root root etc > drwxr-xr-x root root pki > drwxr-xr-x root root apt-gpg > drwxr-xr-x root root extracted Ожидаемый результат =================== Отсутствие предупреждения, корректные права к домашнему каталогу GPG, предоставляемому данным пакетом. Воспроизводимость ================= Воспроизводится на виртуальных машинах: [p11+400306.1] ALT Server 11.0 x86_64 apt-gpgkeys-pki-0.1-alt1.noarch [sisyphus] ALT Server 11.0 x86_64 apt-gpgkeys-pki-0.1-alt1.noarch В [p11] пакета ещё нет.
В данном случае для публичных ключей это не является проблемой. Утилита gpg выдаёт предупреждение потому, что разработана для другого сценария использования. Права проверяются для каталога со связкой ключей в пользовательском каталоге, где могут быть приватные, а это потенциальная угроза. Она везде так работает: $ rpm -qf /usr/lib/alt-gpgkeys/ alt-gpgkeys-0.8.122-alt1.noarch $ gpg --homedir /usr/lib/alt-gpgkeys/ --list-key 3BD31283 gpg: ВНИМАНИЕ: небезопасный владелец домашнего каталога `/usr/lib/alt-gpgkeys/' pub 4096R/3BD31283 2022-03-01 [ годен до: 2032-02-27] uid Kernel Bot <kernelbot@altlinux.org> То, что эта же утилита используется в скриптах для связки не предполагает, что такая проверка требуется. Для этого даже опция имеется специальная (только её не используют зачастую): $ gpg --no-permission-warning --homedir /usr/lib/alt-gpgkeys/ --list-key 3BD31283 pub 4096R/3BD31283 2022-03-01 [ годен до: 2032-02-27] uid Kernel Bot <kernelbot@altlinux.org>
