내 Fedora 26 시스템에는 여전히 Fedora 25 rpmkey 및 Fedora 25 RPMFusion이 설치되어 있습니다.
$ rpm -qa gpg-pubkey --qf "%{version}-%{release} %{summary}\n"
fdb19c98-56fd6333 gpg(Fedora 25 Primary (25) <[email protected]>)
7fac5991-4615767f gpg(Google, Inc. Linux Package Signing Key <[email protected]>)
64dab85d-57d33e22 gpg(Fedora 26 Primary (26) <[email protected]>)
fa7a179a-562bcd6e gpg(RPM Fusion nonfree repository for Fedora (25) <[email protected]>)
6806a9cb-562bce39 gpg(RPM Fusion free repository for Fedora (25) <[email protected]>)
d38b4796-570c8cd3 gpg(Google Inc. (Linux Packages Signing Authority) <[email protected]>)
- 권장되는 Fedora 업데이트 절차는 오래된 Fedora GPG 키를 제거합니까? 즉, 적어도 Fedora의 키는 제거될 것으로 예상됩니다.스물넷, 이제 "라이프 사이클"을 통과했습니다. F24 -> F25 -> F26을 업그레이드하면 어떻게 되나요?
- 더 이상 사용되지 않는 RPMFusion GPG 키를 삭제하기 위한 문서화된 프로세스가 있습니까?
- 이런 식으로 키를 순환하는 것이 좋은 습관인 것 같습니다. (취소따라서 업그레이드된 시스템에 오래된 키를 남겨두면 Fedora 키 순환의 이점을 얻을 수 없습니다. 위 질문 중 하나라도 "아니요"라고 대답한다면, 오래된 키를 유지함으로써 덜 분명한 효과가 있는지 알고 싶습니다.
답변1
- 공식 문서를 보면 알 수 없지만(뭔가 빠졌을 수도 있지만) 대부분의 사용자가 키를 절대 건드리지 않는다는 점을 고려하면 키가 나올 때까지는 키를 건드리지 않는다고 생각합니다(또는 적어도 필요한 키로 제거할 만큼 똑똑하다고 생각합니다). 취소됩니다.)
- 나는 "공식적인" 프로그램이 있다고 가정하고 있지만 약간의 검색으로는 찾을 수 없습니다. (이론적으로는 RPM을 거치지 않고 항상 GPG 키링을 직접 조작할 수 있지만 이것이 문제가 될 수 있는지는 모르겠습니다. ).
- 설명하신 것 외에 키를 유지하는 데 따른 부정적인 점은 생각할 수 없지만 적어도 처음에는 최신 키를 유지해야 하는 매우 중요한 이유가 하나 있습니다. 업데이트가 중간에 실패하고 롤백해야 하는 경우 이전 키가 필요합니다. 열쇠 .
답변2
dnf 시스템 업그레이드거의 충격적일 정도로 간단합니다. 키를 특별히 처리하지 않습니다. 이것Fedora 키가 포함된 패키지또한 단순해 보이며 특수 키 처리를 숨기지 않습니다. 따라서 일반적으로 수행되는 작업 dnf system-upgrade이므로 새 키를 수락하라는 메시지가 표시되기를 원 dnf하지만 키가 삭제되지는 않습니다.
편집: 지금까지 Fedora를 26 -> 27 -> 28에서 업그레이드했으며 Fedora 25 키는 그대로 유지됩니다.
이 문제를 해결하려면 배포판을 업그레이드하기 전이 가장 좋습니다. 당신은 삭제할 수 있습니다모두rpm 키를 사용하고 restart 를 사용하세요 rpm -e --allmatches gpg-pubkey-*-*. 필요한 경우 언제든지 rpmkey를 다시 설치할 수 있습니다. Fedora는 /etc/pki/rpm-gpg/이전 키를 포함하여 사용 가능한 모든 rpmkey를 유지합니다 .
Google과 같은 일부 타사 저장소 구성은 HTTPS를 통해 누락된 rpmkey를 다시 다운로드해야 합니다. 즉, 홀리 웹 PKI를 통한 인증입니다. 이것은 다소 차선책인 것 같습니다. 인증서 고정을 구현하는지 약간 의심스럽습니다.
GNOME 소프트웨어/PackageKit 경로는 약간 모호합니다. dnf내 이해는 대신 PackageKit을 사용할 때 입니다.PackageKit은 RPM의 신뢰 메커니즘 대신 자체 신뢰 메커니즘을 사용합니다.. 이 메커니즘은 배포판 업그레이드 직후 이전 키를 무시하는 것으로 보입니다.
/var/cache/PackageKit/28/metadata/google-chrome/...이상하게도 PackageKit은 Fedora 버전에 따라 디렉터리( )에 타사 키를 저장하기도 하는 것 같습니다 . 이는 Google처럼 PackageKit이 HTTPS를 통해 키를 다시 다운로드한다는 것을 나타냅니다. 따라서 PackageKit 기반 GUI를 사용하는 경우 이에 대해 어떤 조치도 취하기가 어렵습니다.
여기서는 Debian과 Fedora를 비교합니다. 나는 데비안이 오래된 데비안 키를 제거하는 것을 본 적이 있다고 확신합니다(어쩌면 내 파일 기록을 볼 때 부분적으로 etckeeper). 나는 아직 Debian의 PackageKit을 살펴보지 않았습니다. 내가 아는 한, 누락된 타사 서명 키를 HTTPS를 통해 다운로드하는 "기능"이 apt없습니다 .dnf