簽署 yum 儲存庫無助於在“yum install”時通過 gpg 檢查

我創建了 yum 儲存庫，並上傳了一個未簽名的 rpm 文件。

通過創建包含以下文件的 repodata 目錄，我已經對 repo 本身進行了索引和簽名：

文件列表.xml.gz，

其他.xml.gz,

初級.xml.gz,

repomd.xml,

repomd.xml.asc,

repomd.xml.key（我在 repomd.xml.asc 上簽名的公鑰）

在客戶端，我創建了一個新的 repo 配置文件，位於：/etc/yum.repos.d，設置 gpgcheck=1 以便進行簽名檢查。

使用 ‘yum install’ 時，似乎 repomd.xml.asc 和 repomd.xml.key 被忽略了，只有 rpm 文件的簽名通過了簽名檢查。

我的印像是簽署 repo 並放置 repomd.xml.asc 和 repomd.xml.key 會代替單獨簽署每個 rpm 文件。

1. 這個假設是錯誤的嗎？
2. 簽署回購協議有什麼好處嗎？
3. 有沒有其他方法可以簽署回購協議，並繞過簽署每個 rpm 包的需要？

*在 Oracle vm 上使用 centos 6.6 *

提前致謝。

答案如下。1：gpgcheck 控制在下載後驗證包簽名，而不是儲存庫。2：對儲存庫進行簽名提供了一種驗證沒有篡改儲存庫元數據的方法。從 FQDN 下載時，這是一個好處，儘管很小。3) 您可以使用單個 rpm 命令退出儲存庫中的所有包。

要讓 yum 檢查儲存庫簽名，您需要在 /etc/yum.repos.d 的儲存庫中添加一個選項：

repo_gpgcheck=1

如果您沒有單獨簽署gpgcheck=0該文件中設置的 rpm。

引用自：https://serverfault.com/questions/664182