Bug 56997

Summary: Небезопасные права доступа к домашнему каталогу `/etc/pki/apt-gpg/extracted/'
Product: Sisyphus Reporter: Artem Varaksa <varaksaaa>
Component: apt-gpgkeys-pkiAssignee: Evgeny Sinelnikov <sin>
Status: CLOSED NOTABUG QA Contact: qa-sisyphus
Severity: normal    
Priority: P5 CC: sin
Version: unstable   
Hardware: x86_64   
OS: Linux   

Description Artem Varaksa 2025-11-25 13:13:22 MSK 
Шаги
====

1. # apt-get install -y apt-gpgkeys-pki

2. # gpg --homedir /etc/pki/apt-gpg/extracted/ --list-key 3BD31283


Фактический результат
=====================

# gpg --homedir /etc/pki/apt-gpg/extracted/ --list-key 3BD31283
 
> gpg: ВНИМАНИЕ: небезопасные права доступа к домашнему каталогу `/etc/pki/apt-gpg/extracted/'
> pub   4096R/3BD31283 2022-03-01 [    годен до: 2032-02-27]
> uid                  Kernel Bot <kernelbot@altlinux.org>

# namei -om /etc/pki/apt-gpg/extracted/

> f: /etc/pki/apt-gpg/extracted/
>  drwxr-xr-x root root /
>  drwxr-xr-x root root etc
>  drwxr-xr-x root root pki
>  drwxr-xr-x root root apt-gpg
>  drwxr-xr-x root root extracted


Ожидаемый результат
===================

Отсутствие предупреждения, корректные права к домашнему каталогу GPG, предоставляемому данным пакетом.


Воспроизводимость
=================

Воспроизводится на виртуальных машинах:

[p11+400306.1] ALT Server 11.0 x86_64
apt-gpgkeys-pki-0.1-alt1.noarch

[sisyphus] ALT Server 11.0 x86_64
apt-gpgkeys-pki-0.1-alt1.noarch

В [p11] пакета ещё нет.
Comment 1 Evgeny Sinelnikov 2025-11-25 19:36:57 MSK 
В данном случае для публичных ключей это не является проблемой.

Утилита gpg выдаёт предупреждение потому, что разработана для другого сценария использования. Права проверяются для каталога со связкой ключей в пользовательском каталоге, где могут быть приватные, а это потенциальная угроза.

Она везде так работает:
$ rpm -qf /usr/lib/alt-gpgkeys/
alt-gpgkeys-0.8.122-alt1.noarch

$ gpg --homedir /usr/lib/alt-gpgkeys/ --list-key 3BD31283
gpg: ВНИМАНИЕ: небезопасный владелец домашнего каталога `/usr/lib/alt-gpgkeys/'
pub   4096R/3BD31283 2022-03-01 [    годен до: 2032-02-27]
uid                  Kernel Bot <kernelbot@altlinux.org>

То, что эта же утилита используется в скриптах для связки не предполагает, что такая проверка требуется. Для этого даже опция имеется специальная (только её не используют зачастую):

$ gpg --no-permission-warning --homedir /usr/lib/alt-gpgkeys/ --list-key 3BD31283
pub   4096R/3BD31283 2022-03-01 [    годен до: 2032-02-27]
uid                  Kernel Bot <kernelbot@altlinux.org>