私はyum update新しく作られたマシンで実行しています。
- キーを受け入れるように求められるのはなぜですか?
- 鍵を受けても安全ですか?
base/7/x86_64/signature | 811 B 00:00:00
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Importing GPG key 0xF4A80EB5:
Userid : "CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>"
Fingerprint: 6341 ab27 53d7 8a78 a7c2 7bb1 24c6 a8a7 f4a8 0eb5
Package : centos-release-7-6.1810.2.el7.centos.x86_64 (@anaconda)
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Is this ok [y/N]: y
/etc/yum.repos.d/CentOS-Base.repo追加されたベースURLを近くのパブリック(ISP)リポジトリに変更しました。
また、/etc/yum.conf次の事項を変更および追加/修正しました。
repo_gpgcheck=1
payload_gpgcheck=1
plugins=0
答え1
この問題は、yumこのキーがコンピュータにインストールされていないために発生します。これはすべての新しいコンピュータで発生します。以下を変更して機能をオフにすることができます。
repo_gpgcheck=0
指紋が次のいずれかに一致した場合、鍵を信頼できます。ここ
答え2
署名検証を無効にしないことをお勧めします。ここで何が起こるかは多面的です。
リポジトリ設定( "/etc/yum.repos.d")は、リポジトリとパッケージに署名するために使用されるGPG公開鍵のURLを定義します。パッケージのインストールでは、キーをRPMシステムのキーストアにインポートする必要があります。
キーを受け入れるように求められるのはなぜですか?
これは、キーがRPMキーストアにインポートされなかったためです。主キー(たとえば、公式のCentOS署名キー)では、これがいつ、なぜ起こるのかわかりませんが、そのようなことが起こるようです。
鍵を受けても安全ですか?
あなたの場合、file://キーURLスキームには「/etc/pki/rpm-gpg」にファイルが含まれています。そのディレクトリは、ルートが所有していて何とかそこにファイルをインストールする必要があるため、かなり安全だと思います。この評価は他のURLによって異なる場合があります。もちろん、指紋を確認することで追加のセキュリティを提供できます。
パッケージ署名にRPMシステム管理キーを使用することに加えて、このrepo_gpgcheck設定はパッケージ署名の有無も制御します。リポジトリメタデータの署名また確認しました。これを行うには、キーを "/var/lib/yum/*/gpgdir"(レガシー)または "/var/cache/dnf/*/pubring"(RHEL/CentOS 8)の中間にある別のキーストアにインポートする必要があります。 。これらのリポジトリにキーが追加されていない場合は、キーを取得するように求められます。プロンプトはRPMキーストアのプロンプトと同様に表示されます。