Yum

簽署 yum 儲存庫無助於在“yum install”時通過 gpg 檢查

  • July 11, 2017

我創建了 yum 儲存庫,並上傳了一個未簽名的 rpm 文件。

通過創建包含以下文件的 repodata 目錄,我已經對 repo 本身進行了索引和簽名:

文件列表.xml.gz,

其他.xml.gz,

初級.xml.gz,

repomd.xml,

repomd.xml.asc,

repomd.xml.key(我在 repomd.xml.asc 上簽名的公鑰)

在客戶端,我創建了一個新的 repo 配置文件,位於:/etc/yum.repos.d,設置 gpgcheck=1 以便進行簽名檢查。

使用 ‘yum install’ 時,似乎 repomd.xml.asc 和 repomd.xml.key 被忽略了,只有 rpm 文件的簽名通過了簽名檢查。

我的印像是簽署 repo 並放置 repomd.xml.asc 和 repomd.xml.key 會代替單獨簽署每個 rpm 文件。

  1. 這個假設是錯誤的嗎?
  2. 簽署回購協議有什麼好處嗎?
  3. 有沒有其他方法可以簽署回購協議,並繞過簽署每個 rpm 包的需要?

*在 Oracle vm 上使用 centos 6.6 *

提前致謝。

答案如下。1:gpgcheck 控制在下載後驗證包簽名,而不是儲存庫。2:對儲存庫進行簽名提供了一種驗證沒有篡改儲存庫元數據的方法。從 FQDN 下載時,這是一個好處,儘管很小。3) 您可以使用單個 rpm 命令退出儲存庫中的所有包。

要讓 yum 檢查儲存庫簽名,您需要在 /etc/yum.repos.d 的儲存庫中添加一個選項:

repo_gpgcheck=1

如果您沒有單獨簽署gpgcheck=0該文件中設置的 rpm。

引用自:https://serverfault.com/questions/664182