我yum update在一台新建的机器上运行。
- 为什么它要求接受密钥?
- 接受钥匙安全吗?
base/7/x86_64/signature | 811 B 00:00:00
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Importing GPG key 0xF4A80EB5:
Userid : "CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>"
Fingerprint: 6341 ab27 53d7 8a78 a7c2 7bb1 24c6 a8a7 f4a8 0eb5
Package : centos-release-7-6.1810.2.el7.centos.x86_64 (@anaconda)
From : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Is this ok [y/N]: y
请注意,我确实将添加的基本 URL 更改/etc/yum.repos.d/CentOS-Base.repo为附近的公共 (ISP) 存储库。
我还更改/etc/yum.conf并添加/修改了以下内容:
repo_gpgcheck=1
payload_gpgcheck=1
plugins=0
答案1
答案2
我强烈建议不要禁用签名检查。这里发生的事情是多方面的:
存储库配置(在“/etc/yum.repos.d”中)定义用于对存储库和包进行签名的 GPG 公钥的 URL。对于软件包安装,必须将密钥导入到 RPM 系统的密钥存储中。
为什么它要求接受密钥?
因为密钥尚未导入到 RPM 密钥存储中。我不确定默认密钥(例如官方 CentOS 签名密钥)何时以及为何出现这种情况,但它似乎会发生。
接受钥匙安全吗?
在您的情况下,密钥 URL 的file://方案包含“/etc/pki/rpm-gpg”中的文件。由于该目录由 root 用户拥有,并且该文件必须以某种方式安装在那里,所以我认为它非常安全。对于其他 URL,此评估可能有所不同。当然,指纹检查可以提供额外的安全性。
除了使用 RPM 系统管理的密钥进行包签名之外,该repo_gpgcheck设置还控制是否存储库元数据上的签名也被检查。为此,必须将密钥导入到位于“/var/lib/yum/*/gpgdir”(旧版)或“/var/cache/dnf/*/pubring”(RHEL/CentOS 8)的另一个密钥存储中。当密钥尚未添加到这些存储中时,系统可能还会要求您导入它们,并且提示看起来与 RPM 密钥存储的提示类似。