MongoDB 官方指南建议我通过 HTTP 协议添加.repo
with gpgcheck=0
。我感觉这是一个非常不安全的设置 - 我担心每次尝试在不受信任的网络中更新系统时,我都会以这种方式将自己暴露给 MiTM 攻击。这真的可行吗,或者是否存在我不知道的安全机制可以保护我免受这种攻击?如果没有,是否有任何方法可以使此.repo
设置更安全,而无需依赖我的操作系统的旧软件包或从头开始编译程序?
答案1
看来您无法做到这一点。除了禁用存储库上的 GPG 检查外,如果您自己下载 .rpm 文件,则不会提供存档的哈希值供您验证其真实性。
顺便说一句,他们展示(潜在的)SELinux 问题和解决方案的方式很有趣,就好像他们希望你禁用它一样。
这些其实都不重要,它们非常 DevOP,而且那些东西不重要 ;)