어떻게 해야 할지 모르겠어요하나저장소에서 다운로드한 수천 rpm에 gpg 키를 사용할 수 있습니까? 예를 들어 RHEL/Centos 7.x의 경우
- EPEL(Enterprise Linux용 추가 패키지) 설치 결과
/etc/yum.repos.d/epel.repo
는 다음과 같습니다 .gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
- 알았어, 그게 다야하나파일의 gpg 키는 EPEL 저장소에서 다운로드한 rpm에 대해 어떤 역할을 합니까?
- 나는 생각했다열쇠.rpm 헤더에 포함되어 있으며 해당 rpm의 내용에서 키가 생성됩니다. 하지만 RPM은 모두 다르기 때문에 다를 필요는 없습니다.열쇠매 rpm마다?
/etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
EPEL 저장소 웹사이트에서 다운로드한 항목에 어떻게 적용되나요 ?
답변1
RPM 및 저장소 서명 확인은 키 쌍을 사용하는 GPG의 비대칭 암호화를 기반으로 합니다. RPM-GPG-KEY-EPEL-7
키의 공개 부분도 있고, 비공개 부분도 있는데, 이는 철저히 보호되는 비밀입니다. EPEL 저장소에 푸시된 RPM과 저장소 메타데이터 자체는 키의 비공개 부분을 사용하여 서명됩니다. yum
(및 dnf
) 키의 공개 부분을 사용하여 서명을 확인할 수 있습니다.
RPM은 서명에 사용된 키가 아닌 자체 서명을 저장합니다.
분리의 기본 개념은 대역 외 인증을 허용한다는 것입니다. RPM에 서명과 이를 확인하는 데 사용된 키가 함께 제공되는 경우 저장소에 액세스할 수 있는 사람은 누구나 RPM을 거기에 푸시하고 yum
수락할 수 있습니다. 키가 로컬에 저장되기 때문에 yum
개인 키에 액세스할 수 있는 사람이 서명을 작성했는지 확인할 수 있으며, 이는 패키지가 특정 저장소에 존재하는 경우보다 더 강력한 보증을 제공합니다. 로컬 시스템의 저장소 구성에는 "이 기본 URL에서 패키지를 검색하고 이 키로 서명되었는지 추가로 확인"이라고 나와 있습니다(파일에서 .repo
패키지 gpgcheck
서명 확인이 활성화된 경우 강제 확인하고 repo_gpgcheck
활성화된 경우 강제 저장). 라이브러리 메타데이터 유효성 검사) 사용 가능).