어떻게 해야 할지 모르겠어요하나저장소에서 다운로드한 수천 rpm에 gpg 키를 사용할 수 있습니까? 예를 들어 RHEL/Centos 7.x의 경우
- EPEL(Enterprise Linux용 추가 패키지) 설치 결과
/etc/yum.repos.d/epel.repo는 다음과 같습니다 .gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7 - 알았어, 그게 다야하나파일의 gpg 키는 EPEL 저장소에서 다운로드한 rpm에 대해 어떤 역할을 합니까?
- 나는 생각했다열쇠.rpm 헤더에 포함되어 있으며 해당 rpm의 내용에서 키가 생성됩니다. 하지만 RPM은 모두 다르기 때문에 다를 필요는 없습니다.열쇠매 rpm마다?
/etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7EPEL 저장소 웹사이트에서 다운로드한 항목에 어떻게 적용되나요 ?
답변1
RPM 및 저장소 서명 확인은 키 쌍을 사용하는 GPG의 비대칭 암호화를 기반으로 합니다. RPM-GPG-KEY-EPEL-7키의 공개 부분도 있고, 비공개 부분도 있는데, 이는 철저히 보호되는 비밀입니다. EPEL 저장소에 푸시된 RPM과 저장소 메타데이터 자체는 키의 비공개 부분을 사용하여 서명됩니다. yum(및 dnf) 키의 공개 부분을 사용하여 서명을 확인할 수 있습니다.
RPM은 서명에 사용된 키가 아닌 자체 서명을 저장합니다.
분리의 기본 개념은 대역 외 인증을 허용한다는 것입니다. RPM에 서명과 이를 확인하는 데 사용된 키가 함께 제공되는 경우 저장소에 액세스할 수 있는 사람은 누구나 RPM을 거기에 푸시하고 yum수락할 수 있습니다. 키가 로컬에 저장되기 때문에 yum개인 키에 액세스할 수 있는 사람이 서명을 작성했는지 확인할 수 있으며, 이는 패키지가 특정 저장소에 존재하는 경우보다 더 강력한 보증을 제공합니다. 로컬 시스템의 저장소 구성에는 "이 기본 URL에서 패키지를 검색하고 이 키로 서명되었는지 추가로 확인"이라고 나와 있습니다(파일에서 .repo패키지 gpgcheck서명 확인이 활성화된 경우 강제 확인하고 repo_gpgcheck활성화된 경우 강제 저장). 라이브러리 메타데이터 유효성 검사) 사용 가능).