Fedora 14では、パッケージは暗号化され署名されていますか?

Fedora 14では、パッケージは暗号化され署名されていますか?

Fedora 14をインストールしていますが、どうか知りたいです。

  1. Fedora パッケージは暗号化され署名されます。
  2. デフォルトでは、インストーラはパッケージの署名を確認します。
  3. 追加のパッケージをインストールまたはアップグレードするとき、yumはパッケージの署名を確認します。

答え1

これらのパッケージは暗号化方式で署名され、後でパッケージを追加すると、yumパッケージインストーラはこれらの署名を確認します。ただし、初期インストーラはパッケージ署名を確認しません。これは難しい質問です。定義上信頼できない場合は、インストールメディアの暗号署名が良好であることをどのように確認できますか?

バラよりこのFedoraのバグジラアイテム歴史と詳細を学びましょう。これはRed Hatデータベースにまだ存在する最も古いバグであり、古すぎて数字が3桁しかありません。 (現在600,000の新しいエラーがあります。)

ただし、インストール DVD 全体がチェックサム処理されるため、インストールを開始する前に、チェックサムファイルに基づいて状態を外部から確認できます。はい暗号署名。したがって、本当に心配している場合(この時代には良いことです)、公式FedoraプロジェクトのウェブサイトからダウンロードしたISOをGPGキーと照合してから、ネットワークインストールを実行してください。

3つの質問に答えてみましょう。はい、一種の例です。

答え2

~によるとFedora ドキュメント:

すべてのFedoraパッケージは、Fedora GPGキーを使用して署名されます。 GPGはGNU Privacy Guard(GnuPG)を意味し、配布されたファイルの信頼性を保証するために使用される無料のソフトウェアパッケージです。たとえば、秘密鍵(秘密鍵)はパッケージをロックし、公開鍵はパッケージのロックを解除して確認します。 RPM検証中に、Fedoraが配布した公開鍵と秘密鍵が一致しない場合、パッケージが変更された可能性があるため、信頼できません。

FedoraのRPMユーティリティは、RPMパッケージをインストールする前に、自動的にRPMパッケージのGPG署名を確認しようとします。 Fedora GPGキーがインストールされていない場合は、FedoraのインストールCD-ROMやDVDなどの安全で静的な場所にインストールしてください。

その上によるとヤム文書:

Yumは、すべてのパッケージストア(つまりパッケージソース)または単一のストレージに対してGPG署名パッケージのGPG(Gnu Privacy Guard、GnuPGとも呼ばれる)署名検証を有効にして、安全なパッケージ管理を提供します。署名検証が有効になると、Yumはリポジトリの正しいキーを使用してGPGで署名されていないパッケージのインストールを拒否します。これは、システムにダウンロードしてインストールしたRPMパッケージが信頼できるソース(Fedoraプロジェクトなど)から来ており、転送中に変更されていないことを信頼できることを意味します。

新しくインストールされたFedora 14システムには、/etc/yum.conf次のものが含まれます。

gpgcheck=1

yumのこの機能がデフォルトで有効になっていることを示します。

したがって、(1)と(3)の答えはどちらも「はい」のようです。私は(2)への答えがもっと複​​雑だと思います。

DVDとLive CDの両方でディスク全体を確認できます。インストールメディアの整合性が懸念される場合は、この組み込み機能を使用できます(参照:文書)。セキュリティがさらに懸念される場合は、ここで提供されている方法を使用して焼く前にISOを確認することをお勧めします。

https://fedoraproject.org/en/verify

(望むよりこの問題焼きCDのチェックサムを入手する方法のヒントです。 )

修正する: Live CD を使用してインストールする場合は、ライブイメージがディスクに直接コピーされると考えられるため、パッケージマネージャはパッケージのインストールや署名を確認しません。ネットワークインストールまたはフルDVDを使用してインストールしても、GPG署名は確認されません。 mattdmの答えを参照してください。

関連情報