HestiaCP 项目：解决 Debian 系统下 Sury.org APT 密钥过期问题

问题背景

在 Debian 系统上使用 HestiaCP 时，用户可能会遇到 packages.sury.org 的 APT 密钥过期问题。这个问题是由于 Sury.org 的 GPG 密钥在 2024 年 2 月 16 日到期导致的。值得注意的是，这个问题仅影响 Debian 系统，Ubuntu 系统不受影响。

问题表现

当用户尝试执行 apt 更新或安装操作时，系统会提示类似以下的错误信息：

The following signatures were invalid: EXPKEYSIG 15058500A0235D97F5D10063B188E2B695BD4743 DEB.SURY.ORG Automatic Signing Key <deb@sury.org>

解决方案

要解决这个问题，需要手动更新 Sury.org 的 GPG 密钥。以下是具体步骤：

1. 更新 PHP 仓库密钥：

curl -sSlo /usr/share/keyrings/sury-keyring.gpg https://packages.sury.org/php/apt.gpg

2. 更新 Apache2 仓库密钥：

curl -sSlo /usr/share/keyrings/apache2-keyring.gpg https://packages.sury.org/apache2/apt.gpg

3. 验证密钥是否更新成功：

cd /usr/share/keyrings/
gpg --list-options show-sig-expire sury-keyring.gpg

成功更新后，系统会显示新的密钥有效期至 2026 年 2 月 4 日。

注意事项

1. 此问题仅影响 Debian 系统，Ubuntu 系统用户无需执行上述操作。
2. 对于 Ubuntu 16.04 系统，由于该版本已不再受 Sury.org 支持，建议升级到更新的版本。
3. 执行更新操作后，建议运行 apt update 确认问题已解决。

技术原理

GPG 密钥用于验证软件包的来源和完整性。当密钥过期时，APT 包管理器会拒绝从该源安装或更新软件包，以防止潜在的安全风险。手动更新密钥可以恢复系统的正常更新功能，同时确保软件包的安全性。

预防措施

为了避免类似问题再次发生，建议：

1. 定期检查系统中重要仓库的密钥有效期
2. 关注相关软件源的公告和更新信息
3. 对于生产环境，建立密钥更新监控机制

通过以上措施，可以确保系统的持续稳定运行，避免因密钥过期导致的更新中断问题。