RHEL / CentOS 7 yum repo gpgキーの説明

RHEL / CentOS 7 yum repo gpgキーの説明

どうすればいいのかわかりません。一つリポジトリからダウンロードした何千ものrpmにgpgキーを使用できますか?たとえば、RHEL/Centos 7.x の場合

  • EPEL(Enterprise Linux用の追加パッケージ)のインストール結果/etc/yum.repos.d/epel.repoは次のとおりです。gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7
  • わかりました。一つファイルのgpgキーは、EPELリポジトリからダウンロードしたrpmに対してどのような役割を果たしますか?
  • 私は思った.rpmヘッダに含まれており、そのrpmの内容からキーが生成されます。しかし、RPMはすべて異なるため、異なる必要はありません。rpmごとに?/etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7EPELリポジトリのWebサイトからダウンロードしたアイテムにどのように適用されますか?

答え1

RPMとストレージ署名の検証は、キーペアを使用するGPGの非対称暗号化に基づいています。RPM-GPG-KEY-EPEL-7鍵の公開部分もあり、秘密部分もありますが、これは徹底的に保護される秘密です。 EPELリポジトリにプッシュされたRPMとリポジトリメタデータ自体は、キーのプライベート部分を使用して署名されます。yum(およびdnf)キーの公開部分を使用して署名を確認できます。

RPMは、署名に使用されたキーではなく自己署名を保存します。

分離の基本概念は、帯域外認証を許可することです。 RPMに署名とそれを検証するために使用されたキーが付属している場合、リポジトリにアクセスできる人は誰でもRPMをプッシュして受け入れることができますyum。鍵はローカルに保存されるため、秘密鍵にyumアクセスできる人が署名を作成したことを確認できます。これは、パッケージが特定のリポジトリに存在する場合よりも強力な保証を提供します。ローカルシステムのリポジトリ設定には、「このベースURLからパッケージを検索し、このキーで署名されているかどうかをさらに確認する」と記載されています(ファイルでパッケージ署名の確認が有効に.repoなっgpgcheckている場合は強制確認され、repo_gpgcheck有効になっている場合は強制保存)。ライブラリメタデータ検証)利用可能)。

関連情報