Fedora 24는 Fedora 25 업데이트를 트리거하는 이 귀여운 GUI를 팝업으로 표시합니다(gnome 소프트웨어 사용). 이것지시하다Fedora Workstation을 업그레이드하려면 GUI에 나열된 단계를 따르십시오. 잘했어!
일부 소프트웨어를 설치하려고 했을 때 다음 프롬프트/경고를 보고 놀랐습니다.
$ sudo dnf upgrade
...
warning: /var/cache/dnf/updates-1d34501737ae01ab/packages/NetworkManager-openconnect-1.2.4-3.fc25.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID fdb19c98: NOKEY
Importing GPG key 0xFDB19C98:
Userid : "Fedora 25 Primary (25) <[email protected]>"
Fingerprint: C437 DCCD 558A 66A3 7D6F 4372 4089 D8F2 FDB1 9C98
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-25-x86_64
Is this ok [y/N]:
수동으로 무언가를 설치하고 키를 수락하지 않으면 자동 업데이트(알림)가 자동으로 실패한다는 의미입니까?
답변1
사실 이것은 괜찮습니다. 나는 그것이 가장 좋은 방법이라고 생각할 수도 있습니다 :-).
Fedora Workstation의 자동 업데이트 알림은 PackageKit을 사용합니다. 그들은 그 명령을 사용하지 않습니다 dnf.
pkcon패키지가 성공적으로 설치되었거나 ( pkcon -c 1 refresh && pkcon update-c 설명)을 사용하여 업데이트한 것을 확인할 수 있습니다.여기)). 키에 대한 메시지는 표시되지 않습니다. 또한 사용된 저장소에 키를 설치하지 않습니다 dnf. 다시 실행 하면 dnf키를 수락하라는 메시지가 계속 표시됩니다.
dnf에서 사용하는 키 저장소는 실제로 rpm.PackageKit이 rpm의 프런트엔드 역할을 하지만 분명히 rpm 키 링을 채우거나 인증에 의존하지 않기 때문에 이는 나를 놀라게 합니다.
PackageKit이 예를 들어 키를 저장하는 것을 볼 수 있습니다 /var/cache/PackageKit/25/metadata/fedora/gpgdir/. 틀림없이 이는 전통적인 조직보다 더 의미가 있습니다. 이렇게 하면 어떤 저장소에 어떤 키가 다운로드되었는지 알 수 있습니다.
dnf와 달리 PackageKit은 구성된 URL에서 키를 수락하라는 메시지를 표시하지 않습니다. (만약 그렇다면 참고해주세요.했다이 파일을 에 저장하라는 메시지가 표시됩니다 /var/cache. 엄밀히 말하면 이 파일은 사용자 구성도 나타내기 때문에 순수 캐시가 아닙니다. :-).
프롬프트가 없다고 해서 Fedora의 보안이 떨어지는 것은 아닙니다. 예를 들어 이는 /etc/yum.repos.d/fedora.repo(패키지를 통해 ) fedora-release이미 설치된 파일에서 키를 로드하는 것을 의미하기 때문입니다. dnf스크립트를 사용하는 경우 프롬프트도 건너뜁니다 dnf -y install. 이는 설치된 패키지에 다른 요구 사항이 있을 때 프롬프트를 방지하는 표준 방법입니다. (Ansible dnf모듈도 동일한 작업을 수행합니다).
내 결론은 이 팁이 dnf중요한 역할을 하지 않는다는 것입니다. 질문의 상황을 고려하면 "경고" 힌트를 제거하고 "이거 괜찮나요?"라고 묻는 것이 가장 좋습니다. (이것은 ~이 될 것이다최고libdnfPackageKit과 동일한 패턴을 사용하도록 수정되었습니다 . 이는 보안 관점에서 이상해 보입니다.기존 RPM 키를 무기한 보관.
편집: 최신 버전에서는 dnf이제 PK와 PK가 사용됩니다 libdnf. 따라서 이 문제를 해결하지 못한 데 대한 변명이 훨씬 적습니다.
다른 저장소(예: google-chrome.repo)는 HTTPS를 통해 업데이트된 키를 다운로드하는 데 의존할 수 있습니다. 여기에는 다양한 보안 속성이 있습니다. 특히 PackageKit에 키 고정 및 HSTS(주요 HTTPS 클라이언트에서 사용)가 구현될 가능성은 낮아 보입니다. 애초에 다른 보안 속성을 가진 방법을 사용하여 업데이트된 키를 다운로드할 수 있는 가능성이 구현되는 이유가 명확하지 않습니다. 적어도 이는 다운로드한 키를 에 보관하지 않는다는 주장인 것 같습니다 /var/cache/. 사용자는 디스크 공간이 절실히 필요할 때 이를 삭제하고 싶을 수도 있습니다.