我正在安装 Fedora 14,我想知道是否
- Fedora 软件包经过加密签名
- 默认情况下,安装程序会检查包签名
- 安装附加软件包或进行升级时,yum 检查软件包签名
答案1
这些软件包经过加密签名,当您事后添加软件包时,yum 软件包安装程序会检查这些签名。但是,初始安装程序不会检查包签名。这是一个难题,因为:当您根据定义不信任安装介质时,如何验证安装介质上的加密签名是否良好?
看这个 Fedora bugzilla 条目了解历史和详细信息。这是红帽数据库中仍然存在的最古老的错误,而且它太旧了,只有三位数。 (新的错误现在已经有六十万个了。)
但是,整个安装 DVD 都经过校验和,您可以在开始安装之前根据校验和文件从外部验证其是否正常。是加密签名。因此,如果您非常担心(在当今时代,这样做是件好事),请在根据 Fedora 项目官方网站上的 GPG 密钥验证您下载的 ISO 后进行非网络安装。
所以回答你的三个问题:是的,有点,是的。
答案2
根据Fedora 文档:
所有 Fedora 软件包均使用 Fedora GPG 密钥进行签名。 GPG 代表 GNU Privacy Guard,或称 GnuPG,是一个用于确保分发文件的真实性的免费软件包。例如,私钥(秘密密钥)锁定包,而公钥解锁并验证包。如果在 RPM 验证过程中 Fedora 分发的公钥与私钥不匹配,则该软件包可能已被更改,因此不可信。
Fedora 中的 RPM 实用程序在安装 RPM 包之前会自动尝试验证 RPM 包的 GPG 签名。如果未安装 Fedora GPG 密钥,请从安全的静态位置(例如 Fedora 安装 CD-ROM 或 DVD)安装它。
此外,根据百胜文档:
Yum 通过对所有软件包存储库(即软件包源)或单个存储库启用 GPG 签名软件包的 GPG(Gnu Privacy Guard;也称为 GnuPG)签名验证来提供安全的软件包管理。启用签名验证后,Yum 将拒绝安装任何未使用该存储库的正确密钥进行 GPG 签名的软件包。这意味着您可以相信您在系统上下载和安装的 RPM 软件包来自受信任的来源(例如 Fedora 项目),并且在传输过程中没有被修改。
在新安装的 Fedora 14 系统上,/etc/yum.conf包括
gpgcheck=1
表示yum的这个功能默认是开启的。
因此,(1)和(3)的答案似乎都是“是”。我相信(2)的答案更复杂。
DVD 和Live CD 都能够验证整个磁盘。如果您担心安装介质的完整性,您可以使用此内置功能(请参阅文档)。如果您更关心安全性,您可能需要在刻录之前验证 ISO,使用此处提供的方法:
https://fedoraproject.org/en/verify
(看这个问题有关如何获取已刻录 CD 的校验和的提示。)
更新:如果您使用 Live CD 安装,我相信实时映像会直接复制到您的磁盘,因此包管理器不会安装包,也不会检查它们的签名。如果您使用网络安装或完整 DVD 进行安装,则仍不会检查 GPG 签名。请参阅 mattdm 的回答。