rpmkeyを削除しようとしましたか?

tag-icon tag-icon fedora rpm
rpmkeyを削除しようとしましたか?

私のFedora 26システムにはまだFedora 25 rpmkeyとFedora 25 RPMFusionがインストールされています。

$ rpm -qa gpg-pubkey --qf "%{version}-%{release} %{summary}\n"
fdb19c98-56fd6333 gpg(Fedora 25 Primary (25) <[email protected]>)
7fac5991-4615767f gpg(Google, Inc. Linux Package Signing Key <[email protected]>)
64dab85d-57d33e22 gpg(Fedora 26 Primary (26) <[email protected]>)
fa7a179a-562bcd6e gpg(RPM Fusion nonfree repository for Fedora (25) <[email protected]>)
6806a9cb-562bce39 gpg(RPM Fusion free repository for Fedora (25) <[email protected]>)
d38b4796-570c8cd3 gpg(Google Inc. (Linux Packages Signing Authority) <[email protected]>)
  1. 推奨されるFedoraアップデート手順は、古いFedora GPGキーを削除しますか?つまり、少なくともFedoraのキーは削除されると予想されます。24、今「ライフサイクル」に合格しました。 F24 -> F25 -> F26をアップグレードするとどうなりますか?
  2. 廃止されたRPMFusion GPGキーを削除するための文書化されたプロセスはありますか?
  3. このようにキーを循環するのが良い習慣のようです。 (キャンセルしたがって、アップグレードされたシステムに古いキーを残しておくと、Fedoraキーの循環の利点が得られません。上記の質問のいずれかが「いいえ」と答える場合は、古いキーを維持することによってあまり明確ではない効果があるかどうかを知りたいです。

答え1

  1. 公式文書を見ればわかりませんが(何か抜けたかもしれませんが)、ほとんどのユーザーがキーに触れないことを考えると、キーが出るまではキーに触れないと思います(または少なくとも必要なキーで削除するのに十分賢いと思います) 。キャンセルされます。)
  2. 私は「公式」プログラムがあると仮定していますが、少しの検索では見つかりません。 (理論的にはRPMを介さずに常にGPGキーリングを直接操作できますが、これが問題になるかどうかはわかりません。)。
  3. 説明されている以外にキーを保持することに関する否定的なことは考えられませんが、少なくとも最初は最新のキーを維持する必要がある非常に重要な理由が1つあります。更新が途中で失敗してロールバックする必要がある場合は、古いキーが必要です。キー 。

答え2

dnf システムのアップグレードほぼ衝撃的であるほど簡単です。キーを特に処理しません。これFedoraキーを含むパッケージまた、単純に見え、特別なキー処理を隠すことはありません。したがって、これは通常行われている操作dnf system-upgradeなので、新しいキーを受け入れるように求められますdnfが、キーは削除されません。

編集:これまでFedoraを26 - > 27 - > 28からアップグレードしており、Fedora 25キーはそのまま残ります。

この問題を解決するには、ディストリビューションをアップグレードする前に最適です。あなたは削除することができますみんなrpmキーを使用してrestartを使用してくださいrpm -e --allmatches gpg-pubkey-*-*。必要に応じていつでもrpmkeyを再インストールできます。 Fedoraは、/etc/pki/rpm-gpg/以前のキーを含むすべての利用可能なrpmkeyを保持します。

Googleなどの一部のサードパーティ製リポジトリ設定では、HTTPS経由で欠落しているrpmkeyを再ダウンロードする必要があります。つまり、Holly Web PKI による認証です。これはやや次善策のようです。証明書の固定を実装するかどうかは少し疑わしいです。

GNOMEソフトウェア/PackageKitパスは少しあいまいです。dnf私の理解は代わりにPackageKitを使用するときです。PackageKit は、RPM の信頼メカニズムの代わりに独自の信頼メカニズムを使用します。。このメカニズムは、ディストリビューションのアップグレード直後に古いキーを無視するようです。

/var/cache/PackageKit/28/metadata/google-chrome/...奇妙なことに、PackageKitはFedoraのバージョンによってディレクトリ()にサードパーティのキーを保存することもあります。これは、GoogleのようにPackageKitがHTTPSを介してキーを再ダウンロードすることを示します。したがって、PackageKit ベースの GUI を使用している場合、これに対してどのようなアクションも取ることは困難です。

ここではDebianとFedoraを比較します。私はDebianが古いDebianキーを削除するのを見たことがあると確信しています(おそらく私のファイル履歴を見るときに部分的にetckeeper)。私はまだDebianのPackageKitを見ていません。私が知っている限り、欠落しているサードパーティの署名キーをHTTPS経由でダウンロードする「機能」はaptありません。dnf

関連情報