NodeSource 项目在 Ubuntu 22.04 安装 Node.js 18.x 的 GPG 密钥问题解析

在 NodeSource 项目为 Ubuntu 22.04 (Jammy) 系统安装 Node.js 18.x 版本时，用户可能会遇到一个典型的 GPG 密钥验证失败问题。这个问题源于系统安全机制对软件包签名的严格验证要求，值得深入分析其成因和解决方案。

问题现象

当用户按照标准流程执行安装时，系统会报出以下关键错误信息：

The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 2F59B5F99B1BE0B4

这表明系统无法找到对应的 GPG 公钥来验证软件仓库的签名，导致安装过程中断。

根本原因分析

经过技术排查，发现这个问题由两个独立但可能同时出现的因素导致：

1. 密钥版本不匹配：NodeSource 项目已经从原先为每个发行版单独维护软件包的方式，转变为使用统一的 nodistro 仓库。旧版本的安装脚本或手动配置如果仍指向 jammy 专用仓库，就会遇到签名密钥不匹配的问题。

2. 文件权限问题：在 umask 设置为 027 的系统环境下，自动下载的 GPG 密钥文件可能因权限设置不当（默认缺少全局读取权限）而导致验证失败。

解决方案

针对上述问题，我们推荐以下解决步骤：

方案一：更新仓库配置（推荐）

1. 确保使用最新的 nodistro 仓库配置，替换旧的发行版专用仓库
2. 执行标准安装流程：

curl -fsSL https://deb.nodesource.com/setup_18.x | sudo -E bash -
sudo apt-get install -y nodejs

方案二：修复密钥文件权限

如果确认是权限问题导致：

sudo chmod a+r /usr/share/keyrings/nodesource.gpg

方案三：手动添加缺失的密钥

对于特殊情况，可以手动添加所需密钥：

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 2F59B5F99B1BE0B4

技术建议

1. 对于自动化部署脚本，建议加入权限检查逻辑，确保密钥文件具有适当权限
2. 生产环境中，建议统一使用 nodistro 仓库配置，避免使用发行版专用仓库
3. 在容器化部署时，注意基础镜像的 umask 设置可能影响密钥文件的可用性

总结

这个问题的出现反映了软件分发策略变更与系统安全机制的交互影响。理解 NodeSource 项目从发行版专用仓库到统一仓库的演变，有助于从根本上避免此类问题。同时，系统管理员应当注意文件权限设置对安全验证流程的影响，特别是在自动化部署场景下。