Chỉ từ 49.000đ/tháng
Khi quản lý một máy chủ Linux là gì, đặc biệt là các hệ thống dựa trên Debian và Ubuntu, việc đảm bảo an toàn cho các kho phần mềm (repository) là cực kỳ quan trọng. Lệnh apt-key từng là một công cụ quen thuộc giúp chúng ta quản lý các khóa GPG để xác thực gói tin. Tuy nhiên, các phiên bản Hệ điều hành Ubuntu mới đã chính thức loại bỏ (deprecated) lệnh này vì những rủi ro bảo mật tiềm ẩn. Sự thay đổi này đòi hỏi các quản trị viên hệ thống phải cập nhật ngay phương pháp làm việc của mình để bảo vệ hệ thống một cách tốt nhất. Bài viết này sẽ đi sâu vào lý do tại sao apt-key không còn được tin dùng và hướng dẫn bạn chi tiết cách chuyển đổi sang các phương pháp quản lý khóa an toàn, hiện đại hơn như sử dụng thư mục /etc/apt/trusted.gpg.d và tùy chọn signed-by. Chúng ta sẽ cùng nhau tìm hiểu từng bước, từ lý thuyết đến các ví dụ thực tiễn, giúp bạn tự tin làm chủ kỹ năng quan trọng này.
Đối với những ai làm việc thường xuyên với Ubuntu hay Debian, lệnh apt-key chắc chắn không hề xa lạ. Đây là công cụ dòng lệnh cốt lõi, giữ vai trò quản lý danh sách các khóa GPG (GNU Privacy Guard) mà APT (Advanced Package Tool) sử dụng để xác thực các kho phần mềm. Khi bạn thêm một kho phần mềm mới, bạn cần thêm khóa công khai của nó vào hệ thống. Lệnh apt-key sẽ giúp APT tin tưởng vào các gói tin được ký bằng khóa này, đảm bảo rằng phần mềm bạn cài đặt là chính thống và chưa bị can thiệp.
Tuy nhiên, vấn đề lớn nhất là apt-key đã dần bị loại bỏ trong các phiên bản mới. Nguyên nhân chính xuất phát từ những hạn chế và rủi ro bảo mật nghiêm trọng mà nó mang lại. Việc lưu trữ tất cả các khóa trong một tệp tin chung khiến hệ thống dễ bị tấn công nếu một trong các khóa bị xâm phạm. Để giải quyết vấn đề này, các giải pháp thay thế an toàn hơn như quản lý khóa riêng lẻ trong thư mục /etc/apt/trusted.gpg.d và sử dụng tùy chọn signed-by đã ra đời. Bài viết này sẽ có cấu trúc rõ ràng, giúp bạn dễ dàng theo dõi từ việc tìm hiểu lý do apt-key bị khai tử, cách chuyển đổi hệ thống hiện tại, cho đến việc áp dụng các phương pháp quản lý khóa tốt nhất hiện nay.
Để hiểu tại sao cộng đồng Linux quyết định từ bỏ một công cụ quen thuộc như apt-key, chúng ta cần xem xét kỹ hơn về cách nó hoạt động và những rủi ro đi kèm. Việc thay đổi này không phải là một quyết định tùy hứng mà dựa trên những yêu cầu nghiêm ngặt về bảo mật trong bối cảnh công nghệ hiện đại.
Chức năng chính của apt-key là quản lý một chuỗi khóa (keyring) tin cậy duy nhất cho toàn bộ hệ thống, thường được lưu tại /etc/apt/trusted.gpg. Khi bạn thực thi lệnh apt-key add <key_file>, khóa GPG trong tệp sẽ được thêm vào chuỗi khóa này. Từ thời điểm đó, mọi kho phần mềm (repository) trên hệ thống đều có thể được xác thực bằng khóa đó.
Khi bạn chạy lệnh apt update, hệ thống APT sẽ kiểm tra chữ ký của tệp Release trong mỗi kho phần mềm. Nó sẽ đối chiếu chữ ký này với các khóa có trong /etc/apt/trusted.gpg. Nếu tìm thấy một khóa khớp, kho phần mềm đó được xem là đáng tin cậy và bạn có thể tiến hành cài đặt hoặc cập nhật gói tin từ đó. Cơ chế này đảm bảo tính toàn vẹn và nguồn gốc của phần mềm, ngăn chặn các cuộc tấn công xen giữa (man-in-the-middle). Tuy nhiên, chính sự đơn giản trong thiết kế này lại là nguồn gốc của các vấn đề bảo mật nghiêm trọng.
Lý do cốt lõi khiến apt-key bị “khai tử” nằm ở mô hình bảo mật của nó. Việc lưu trữ tất cả các khóa trong một tệp tin toàn cục (/etc/apt/trusted.gpg) tạo ra một rủi ro bảo mật lớn. Một khi một khóa đã được thêm vào đây, nó được tin tưởng để xác thực bất kỳ kho phần mềm nào, không chỉ kho phần mềm mà nó được thiết kế để xác thực. Điều này có nghĩa là, nếu một kho phần mềm của bên thứ ba bị xâm phạm và kẻ tấn công có được khóa riêng tư, họ có thể sử dụng nó để ký các gói tin độc hại và giả mạo chúng thành các gói tin từ kho chính thức của Ubuntu hoặc Debian. Hệ thống của bạn sẽ hoàn toàn tin tưởng và cài đặt chúng mà không có bất kỳ cảnh báo nào.
Thêm vào đó, phương pháp này không tương thích với các tiêu chuẩn quản lý khóa hiện đại, vốn yêu cầu sự tách biệt và kiểm soát chi tiết hơn. Xu hướng phát triển của Ubuntu và Debian đang tập trung mạnh mẽ vào việc tăng cường bảo mật hệ thống. Họ muốn đảm bảo rằng mỗi kho phần mềm chỉ được xác thực bởi chính khóa GPG được chỉ định cho nó. Việc loại bỏ apt-key và chuyển sang các phương pháp an toàn hơn là một bước đi tất yếu để xây dựng một hệ sinh thái phần mềm vững chắc và đáng tin cậy hơn cho người dùng.
Khi apt-key không còn là lựa chọn an toàn, phương pháp thay thế đầu tiên và trực tiếp nhất là chuyển sang sử dụng thư mục /etc/apt/trusted.gpg.d. Thư mục này cho phép quản lý các khóa GPG một cách riêng lẻ, mỗi khóa nằm trong một tệp tin riêng biệt, mang lại nhiều lợi ích về bảo mật và khả năng quản lý.
Quá trình chuyển đổi các khóa hiện có từ tệp trusted.gpg sang thư mục trusted.gpg.d khá đơn giản và có thể thực hiện thông qua vài câu lệnh. Mục tiêu là xuất từng khóa ra khỏi chuỗi khóa toàn cục và lưu chúng dưới dạng tệp nhị phân riêng lẻ.
Đầu tiên, bạn cần liệt kê các khóa hiện có để lấy mã định danh (key ID) của chúng:
apt-key listSau khi có ID của khóa bạn muốn di chuyển, hãy sử dụng lệnh sau để xuất khóa đó và chuyển đổi nó sang định dạng phù hợp (định dạng dearmor). Thay KEY_ID bằng ID thực tế bạn lấy được từ lệnh trên.
apt-key export KEY_ID | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/ten-repo.gpgVí dụ, để xuất khóa của kho phần mềm Docker, bạn có thể thực hiện:
apt-key export 9DC858229FC7DD38854AE2D88D81803C0EBFCD88 | sudo gpg --dearmor -o /etc/apt/trusted.gpg.d/docker.gpgSau khi đã xuất thành công, bạn nên xóa khóa đó khỏi tệp trusted.gpg cũ bằng lệnh:
sudo apt-key del KEY_IDLặp lại quy trình này cho tất cả các khóa của bên thứ ba để hoàn tất việc di chuyển.
Việc chuyển sang sử dụng thư mục trusted.gpg.d mang lại nhiều ưu điểm vượt trội so với cách làm cũ. Lợi ích lớn nhất là khả năng quản lý khóa theo từng tệp riêng biệt. Mỗi kho phần mềm sẽ có một tệp khóa .gpg tương ứng, giúp bạn dễ dàng xác định khóa nào thuộc về dịch vụ nào.
Điều này làm tăng tính minh bạch và bảo mật. Khi một khóa không còn cần thiết hoặc bị nghi ngờ xâm phạm, bạn chỉ cần xóa tệp .gpg tương ứng trong thư mục trusted.gpg.d mà không gây ảnh hưởng đến các khóa của những kho phần mềm khác. Việc thêm, xóa hoặc cập nhật khóa trở nên đơn giản và an toàn hơn rất nhiều. Hơn nữa, việc tự động hóa quản lý cấu hình bằng các công cụ như Ansible hay Puppet cũng trở nên dễ dàng hơn, vì bạn chỉ cần đảm bảo tệp khóa tồn tại hoặc bị xóa khỏi thư mục này, thay vì phải thao tác với lệnh apt-key vốn phức tạp và rủi ro hơn.
Mặc dù việc sử dụng thư mục /etc/apt/trusted.gpg.d đã là một cải tiến lớn, phương pháp được khuyến nghị và an toàn nhất hiện nay là sử dụng tùy chọn signed-by trực tiếp trong tệp cấu hình kho phần mềm. Cách tiếp cận này mang lại mức độ bảo mật cao nhất bằng cách chỉ định rõ ràng khóa nào được dùng để xác thực kho phần mềm nào.
Tùy chọn signed-by cho phép bạn khai báo đường dẫn tuyệt đối đến tệp khóa GPG sẽ được sử dụng để xác thực một kho phần mềm cụ thể. Điều này tạo ra một liên kết chặt chẽ và duy nhất giữa kho phần mềm và khóa của nó. Bằng cách này, hệ thống sẽ không còn tin tưởng một cách mù quáng vào bất kỳ khóa nào nằm trong thư mục tin cậy toàn cục nữa.
Cú pháp để áp dụng rất đơn giản. Thay vì chỉ có dòng deb [arch=amd64] https://..., bạn sẽ thêm tùy chọn signed-by vào tệp .list trong /etc/apt/sources.list.d/. Ví dụ, đây là cách khai báo kho phần mềm của Docker theo phương pháp mới:
deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu focal stableTrong ví dụ này, chúng ta chỉ định rõ ràng rằng chỉ có khóa được lưu tại /usr/share/keyrings/docker-archive-keyring.gpg mới được phép xác thực kho phần mềm của Docker. Bất kỳ khóa nào khác, dù có nằm trong /etc/apt/trusted.gpg.d, cũng sẽ bị bỏ qua. Điều này ngăn chặn hoàn toàn nguy cơ tấn công chéo kho phần mềm đã đề cập trước đó.
apt-secure không phải là một công cụ bạn chạy trực tiếp, mà là cơ chế bảo mật tích hợp sẵn trong APT. Nó chịu trách nhiệm thực thi toàn bộ quá trình xác thực, đảm bảo rằng các gói tin bạn tải về đều có chữ ký hợp lệ và đến từ một nguồn đáng tin cậy. Khi bạn sử dụng tùy chọn signed-by, bạn đang cung cấp thông tin cho apt-secure để nó thực hiện việc kiểm tra một cách nghiêm ngặt và chính xác hơn.
Sự kết hợp giữa việc lưu khóa ở một vị trí an toàn (như /usr/share/keyrings) và khai báo signed-by trong tệp sources.list chính là tiêu chuẩn vàng hiện nay. Nó giúp tăng cường bảo mật hệ thống lên mức tối đa. Bằng cách này, bạn không chỉ tuân thủ các khuyến nghị mới nhất từ Debian và Ubuntu mà còn xây dựng một hệ thống vững chắc, có khả năng chống lại các mối đe dọa liên quan đến chuỗi cung ứng phần mềm một cách hiệu quả.
Lý thuyết là quan trọng, nhưng việc áp dụng vào thực tế sẽ giúp bạn hiểu rõ hơn về quy trình. Hãy cùng xem qua một ví dụ hoàn chỉnh về cách thêm một kho phần mềm của bên thứ ba (ví dụ: Google Chrome) vào hệ thống Ubuntu mà không cần dùng đến apt-key.
Đầu tiên, chúng ta cần tải khóa GPG công khai của Google. Thay vì thêm trực tiếp bằng apt-key, chúng ta sẽ tải về, chuyển đổi định dạng và lưu vào thư mục /usr/share/keyrings. Đây là nơi được khuyến nghị để lưu các khóa dùng với tùy chọn signed-by, vì nó tách biệt với hệ thống quản lý APT.
wget -q -O - https://dl.google.com/linux/linux_signing_key.pub | sudo gpg --dearmor -o /usr/share/keyrings/google-chrome-keyring.gpgLệnh trên thực hiện ba việc:
wget tải khóa từ URL của Google.gpg --dearmor chuyển đổi khóa từ định dạng ASCII sang định dạng nhị phân mà APT có thể sử dụng./usr/share/keyrings/google-chrome-keyring.gpg.
Tiếp theo, chúng ta sẽ tạo tệp cấu hình kho phần mềm trong /etc/apt/sources.list.d/. Tệp này sẽ chứa thông tin về kho phần mềm của Google Chrome và quan trọng nhất là tùy chọn signed-by để chỉ định khóa xác thực.
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/google-chrome-keyring.gpg] http://dl.google.com/linux/chrome/deb/ stable main" | sudo tee /etc/apt/sources.list.d/google-chrome.listLệnh echo tạo ra chuỗi cấu hình và tee ghi nó vào tệp google-chrome.list. Lưu ý phần signed-by=/usr/share/keyrings/google-chrome-keyring.gpg, đây chính là trái tim của phương pháp mới. Nó yêu cầu APT chỉ sử dụng khóa này để xác thực kho phần mềm Google Chrome.
Cuối cùng, hãy cập nhật danh sách gói tin của bạn để áp dụng thay đổi:
sudo apt updateNếu mọi thứ được thực hiện chính xác, quá trình cập nhật sẽ diễn ra suôn sẻ mà không có bất kỳ cảnh báo nào về apt-key. Bây giờ bạn đã có thể cài đặt Google Chrome một cách an toàn. Quy trình này cho thấy việc quản lý khóa không chỉ an toàn hơn mà còn minh bạch và dễ kiểm soát hơn rất nhiều.
Việc loại bỏ apt-key không chỉ là một thay đổi kỹ thuật đơn thuần mà còn tác động trực tiếp đến quy trình làm việc hàng ngày của các quản trị viên hệ thống (sysadmin). Việc nhận thức rõ những thách thức và có giải pháp ứng phó phù hợp là rất quan trọng để đảm bảo hệ thống luôn hoạt động ổn định và an toàn.
Thách thức lớn nhất khi chuyển đổi là sự tồn tại của các tài liệu hướng dẫn, kịch bản (script) tự động hóa và thói quen cũ. Rất nhiều bài viết trên mạng, thậm chí cả tài liệu chính thức của một số nhà cung cấp phần mềm, vẫn còn hướng dẫn sử dụng apt-key. Điều này có thể gây ra lỗi hoặc cảnh báo “apt-key is deprecated” khi bạn chạy các kịch bản cài đặt tự động trên các phiên bản hệ điều hành mới.
Một khó khăn khác là việc quản lý khóa trong các môi trường tự động hóa phức tạp. Các công cụ như Ansible, Puppet, hay Chef có thể cần phải cập nhật lại các “playbook” hoặc “module” để tuân thủ phương pháp mới. Nếu không, các quy trình triển khai tự động có thể thất bại hoặc tệ hơn là tiếp tục sử dụng phương pháp cũ không an toàn, để lại các lỗ hổng bảo mật tiềm ẩn trên hệ thống. Việc rà soát và cập nhật toàn bộ cơ sở hạ tầng dưới dạng mã (Infrastructure as Code) là một công việc đòi hỏi thời gian và sự cẩn thận.
Để ứng phó hiệu quả với sự thay đổi này, các quản trị viên hệ thống nên chủ động hành động. Đầu tiên, hãy ưu tiên cập nhật các tài liệu nội bộ và các kịch bản quản lý hệ thống. Rà soát tất cả các script shell, playbook Ansible, hoặc bất kỳ mã tự động hóa nào có sử dụng lệnh apt-key và thay thế chúng bằng phương pháp signed-by đã được thảo luận.
Thứ hai, hãy xây dựng một quy trình chuẩn hóa cho việc thêm kho phần mềm mới. Đảm bảo rằng mọi thành viên trong nhóm đều tuân thủ việc lưu khóa vào /usr/share/keyrings và sử dụng signed-by. Điều này giúp duy trì sự nhất quán và bảo mật trên toàn bộ hệ thống.
Cuối cùng, hãy sử dụng các công cụ để kiểm tra và xác thực cấu hình sau khi chuyển đổi. Bạn có thể viết các kịch bản đơn giản để quét thư mục /etc/apt/sources.list.d/ và đảm bảo rằng tất cả các tệp cấu hình đều chứa tùy chọn signed-by. Việc kiểm tra định kỳ cũng giúp phát hiện sớm các cấu hình không an toàn có thể vô tình được tạo ra. Chủ động thích ứng sẽ giúp bạn không chỉ tránh được lỗi mà còn nâng cao đáng kể mức độ bảo mật cho toàn bộ hạ tầng của mình.
Trong quá trình chuyển đổi từ apt-key sang các phương pháp mới, bạn có thể gặp phải một số lỗi hoặc cảnh báo phổ biến. Hiểu rõ nguyên nhân và cách khắc phục sẽ giúp bạn giải quyết vấn đề nhanh chóng và hiệu quả.
Đây là cảnh báo phổ biến nhất mà bạn sẽ gặp trên các phiên bản Ubuntu 22.04, Debian 11 trở lên khi một kịch bản hoặc lệnh nào đó vẫn còn gọi đến apt-key add. Nguyên nhân của cảnh báo này rất rõ ràng: hệ điều hành đang thông báo cho bạn rằng lệnh bạn vừa dùng đã lỗi thời và không nên được sử dụng nữa.
Cách xử lý nhanh và đúng đắn là xác định kho phần mềm nào đã gây ra cảnh báo này. Thông thường, nó sẽ xuất hiện ngay sau khi bạn thêm một khóa mới. Thay vì sử dụng apt-key add, bạn hãy làm theo quy trình chuẩn: tải khóa về, dùng gpg --dearmor để xử lý và lưu nó vào /usr/share/keyrings. Sau đó, chỉnh sửa tệp .list tương ứng trong /etc/apt/sources.list.d/ để thêm tùy chọn [signed-by=/path/to/key.gpg]. Nếu bạn đang chạy một kịch bản cài đặt tự động của bên thứ ba, bạn có thể cần phải can thiệp thủ công hoặc tìm phiên bản mới hơn của kịch bản đó đã được cập nhật để tương thích.
Một vấn đề khác là lỗi xác thực khi chạy apt update, thường có thông báo như “GPG error: … NO_PUBKEY <KEY_ID>”. Lỗi này xảy ra khi hệ thống không tìm thấy khóa công khai cần thiết để xác minh chữ ký của kho phần mềm. Nguyên nhân có thể là do khóa đã hết hạn, bị thu hồi, hoặc bạn chưa bao giờ thêm nó vào hệ thống theo đúng cách.
Để khắc phục, trước tiên hãy xác định kho phần mềm nào đang gây ra lỗi. Thông báo lỗi thường sẽ chỉ rõ URL của kho. Tiếp theo, hãy truy cập trang web chính thức của nhà cung cấp phần mềm đó để tìm hướng dẫn cài đặt mới nhất và tải về khóa GPG chính xác. Đừng tìm kiếm khóa trên các nguồn không đáng tin cậy. Sau khi có khóa mới, hãy xóa khóa cũ (nếu có) khỏi /usr/share/keyrings hoặc /etc/apt/trusted.gpg.d. Cuối cùng, thêm khóa mới theo phương pháp signed-by đã hướng dẫn. Việc này đảm bảo rằng bạn luôn sử dụng khóa hợp lệ và duy trì tính toàn vẹn của các gói phần mềm.
Để đảm bảo hệ thống của bạn luôn an toàn và dễ quản lý, việc tuân thủ các thực tiễn tốt nhất (best practices) trong quản lý khóa kho phần mềm là điều cần thiết. Đây là những nguyên tắc vàng giúp bạn xây dựng một hệ thống vững chắc và bảo mật.
signed-by: Đây là phương pháp an toàn và được khuyến nghị nhất. Hãy biến việc sử dụng tùy chọn [signed-by=/path/to/key.gpg] trong tệp sources.list thành một thói quen. Nó cung cấp cơ chế kiểm soát chi tiết và ngăn chặn nguy cơ tấn công chéo giữa các kho phần mềm./usr/share/keyrings: Thay vì lưu khóa vào thư mục tin cậy toàn cục như /etc/apt/trusted.gpg.d, hãy lưu các tệp khóa GPG dành cho signed-by vào /usr/share/keyrings. Thư mục này được thiết kế để chứa các khóa không được quản lý trực tiếp bởi APT, giúp tách biệt và an toàn hơn.
.gpg riêng biệt. Điều này giúp việc quản lý, gỡ bỏ hoặc cập nhật trở nên cực kỳ đơn giản và minh bạch.trusted.gpg.d nếu có thể: Mặc dù an toàn hơn apt-key, thư mục /etc/apt/trusted.gpg.d vẫn mang tính chất tin cậy toàn cục. Bất kỳ khóa nào trong thư mục này đều được tin tưởng cho mọi kho phần mềm. Do đó, chỉ sử dụng nó khi không còn lựa chọn nào khác và ưu tiên signed-by bất cứ khi nào có thể.apt-key trên các hệ thống mới: Đối với bất kỳ máy chủ hoặc máy trạm nào được cài đặt với phiên bản hệ điều hành mới, hãy cam kết không sử dụng lệnh apt-key. Việc áp dụng các phương pháp hiện đại ngay từ đầu sẽ giúp bạn tiết kiệm thời gian và tránh các rủi ro bảo mật không đáng có trong tương lai.Việc từ bỏ lệnh apt-key không chỉ là một thay đổi về mặt cú pháp mà còn là một bước tiến quan trọng trong việc nâng cao bảo mật cho hệ sinh thái Linux, đặc biệt là với các bản phân phối như Debian và Ubuntu. Chúng ta đã cùng nhau tìm hiểu lý do tại sao phương pháp quản lý khóa tập trung cũ lại tiềm ẩn nhiều rủi ro và cách các phương pháp mới như sử dụng thư mục /etc/apt/trusted.gpg.d và tùy chọn signed-by giải quyết triệt để những vấn đề đó.
Lợi ích của việc chuyển đổi là không thể phủ nhận: bảo mật được tăng cường đáng kể bằng cách cô lập sự tin cậy cho từng kho phần mềm, đồng thời việc quản lý, thêm, xóa và cập nhật khóa trở nên minh bạch và dễ dàng hơn rất nhiều. Đối với các quản trị viên hệ thống, việc nắm vững và áp dụng các kỹ thuật này không còn là một lựa chọn, mà là một yêu cầu bắt buộc để bảo vệ hạ tầng của mình trước các mối đe dọa ngày càng tinh vi.
Tôi khuyến khích bạn ngay hôm nay hãy rà soát lại các máy chủ của mình, kiểm tra các kịch bản tự động hóa và bắt đầu quá trình chuyển đổi. Hãy thử áp dụng các ví dụ đã được hướng dẫn trong bài viết để thêm một kho phần mềm mới theo cách an toàn nhất. Việc chủ động cập nhật kiến thức và kỹ năng sẽ giúp bạn luôn tự tin trong việc quản lý và vận hành một hệ thống ổn định, an toàn và hiệu quả.
Có cao nhân từng nói rằng: "Kiến thức trên thế giới này đầy rẫy trên internet. Tôi chỉ là người lao công cần mẫn đem nó tới cho người cần mà thôi !"
Chỉ từ 49.000đ/tháng
Quản trị hệ thống Hướng dẫn cài đặt vsftpd trên Ubuntu 20.04 cho thư mục người dùng riêng
Quản trị hệ thống Hướng dẫn giám sát hệ thống với Tick Stack trên CentOS 7
Quản trị hệ thống Tích hợp Netdata vào DirectAdmin: Giám sát hiệu suất server hiệu quả
Quản trị hệ thống Thời gian downtime là gì? Định nghĩa, nguyên nhân và giải pháp hiệu quả
Quản trị hệ thống Hướng dẫn Thiết lập server Ubuntu 20.04 chi tiết và an toàn
