명령줄 RHEL/CentOS 섹션을 참조하세요.https://rpmfusion.org/Configuration/
--nogpgcheck이 스위치를 사용하면 눈치채지 못한 채 변조가 발생하도록 허용 하지 않습니까 ?
답변1
이는 포장 시스템과 관련된 원래의 닭고기와 달걀 신뢰 문제를 무너뜨리기 위한 단계입니다.
yum새 저장소의 패키징 시스템( / ) rpm은 새 저장소이고 처음에는 잘 알려지지 않았기 때문에 이를 신뢰하지 않습니다. 따라서 첫 번째 단계는 시스템에 (암호화 방식으로) 이 새 저장소를 신뢰하도록 지시하는 것입니다. 이는 패키지(또는 다른 시스템에서는 패키지 버전)에 서명하여 수행됩니다.
일부 방법은 시스템의 신뢰도를 높이기 위해 별도의 웹 페이지 또는 키 서버에 gpg 키를 제공합니다(예:rpm --import(진짜rpmkeys --importapt) 또는 /와 동일 dpkg:apt-key add) 그런 다음 주로 다운로드할 URL과 일부 설정(예: gpgcheck=1매개변수)이 포함된 올바른 파일로 저장소를 구성합니다.
또 다른 접근 방식은 이 키를 패키지에 직접 넣고 패키지가 키와 저장소 설정을 추가하도록 하는 것입니다. 여기서는 rpmfusion-free-release-7.noarch.rpm패키지 내에 몇 개의 파일만 사용하여 수행합니다.
# rpm -qlp rpmfusion-free-release-7.noarch.rpm
warning: rpmfusion-free-release-7.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID f5cf6c1e: NOKEY
/etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-el-7
/etc/yum.repos.d/rpmfusion-free-updates-testing.repo
/etc/yum.repos.d/rpmfusion-free-updates.repo
이러한 파일은 여기에 포함된 키 및 새 저장소 구성입니다 gpgcheck=1. 패키지는 설치될 때까지 시스템에서 신뢰되지 않습니다(따라서 위의 경고 NOKEY). 설치 후에는 이제 키가 신뢰되며 모든 추가 작업에서는 이 추가된 키를 사용하여 패키지 서명을 확인합니다.
그러면 어떻게 믿을 수 있습니까? 다운로드 시 https://신뢰를 제공하기 위해 계속 in을 사용합니다 https://download1.rpmfusion.org/. rpmfusion이 소유한 다운로드 사이트가 이 패키지를 제어하고 변조 없이 안전하게 다운로드할 수 있음을 보장해야 합니다.
패키지가 아닌 웹사이트만 신뢰할 수 있기 때문에 완전히 동일한 유형의 신뢰는 아닙니다. 어쨌든 rpmfusion에서 소프트웨어를 다운로드하고 있기 때문에 이는 해당 소프트웨어를 충분히 신뢰하여 패키지를 다운로드하고 설치할 수 있음을 의미합니다. 이 패키지는 저장소의 초기 추가 외에 처음으로 다운로드해서는 안 됩니다 *.rpmfusion.org( install 을 사용하는 경우에도 --nogpgcheck). 그렇지 않으면 이제 동일한 이름을 가진 다른 패키지가 아닌 동일한 패키지를 실제로 제공하기 위해 미러를 신뢰해야 합니다. 추가 키 또는 더 나쁘다.
그럼에도 불구하고, 전자 방법을 사용하면 키를 추가하고 패키지를 다운로드하는 방법에 대한 지침을 읽어야 하므로 먼저 해당 지침을 신뢰해야 합니다. 이것이 내가 닭과 달걀이라고 부르는 것입니다. 어딘가에서 신뢰를 시작해야 합니다.
이러한 초기 신뢰가 확립되면 다른 모든 것은 안전하게 "처리"됩니다. 새 키를 제공해야 하는 경우에도 이는 rpmfusion-free-release내부 교체 키를 업데이트하여 수행되며, 미러에서 다운로드했거나 사용하지 않은 경우에도 https://실제로 이 저장소의 경우입니다. 미러를 사용합니다. 아마도 순수한 http 일 것입니다. 더 이상 필요하지 않습니다 --nogpgcheck.