如何重新同步 saltstack?reposync 失败并显示错误消息“由于缺少 GPG 密钥,正在删除 [...]。”

如何重新同步 saltstack?reposync 失败并显示错误消息“由于缺少 GPG 密钥,正在删除 [...]。”

在 RHEL 7.4 系统上,我添加 salt-latest repo 如下:

yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm

请注意,除其他事项外,这将创建以下两个 GPG 密钥文件:

/etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
/etc/pki/rpm-gpg/saltstack-signing-key

供以后参考,请注意 CentOS 密钥的指纹以 f4a80eb5 结尾:

# gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt

pub  4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
      Key fingerprint = 6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5

尝试重新同步下载:

mkdir /root/foobar

reposync --gpgcheck --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata

它会失败并出现如下错误:

Removing babel-0.9.6-8.el7.noarch.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.i686.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.x86_64.rpm, due to missing GPG key.

因此,我手动下载了所有失败的文件(在 for 循环中)并检查了它们的签名密钥的签名。它们都是一样的,因此这里仅举其中一个例子:

wget http://repo.saltstack.com/yum/redhat/7/x86_64/latest/base/babel-0.9.6-8.el7.noarch.rpm

rpm -K babel-0.9.6-8.el7.noarch.rpm

babel-0.9.6-8.el7.noarch.rpm: RSA sha1 ((MD5) PGP) md5 NOT OK (MISSING KEYS: (MD5) PGP#f4a80eb5)

注意,该密钥PGP#f4a80eb5与上面引用的密钥匹配F4A8 0EB5。那么为什么它无法通过 gpg 检查呢?

我尝试过的方法包括:

  • 我编辑/etc/yum.repos.d/salt-latest.repo并更改了该gpgkey=行。这三种变体都出现了同样的失败。据我所知,更改该gpgkey=行没有任何效果:

    gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
    gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key,file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
    
  • 我尝试reposync不用 来运行--gpgcheck。它可以工作,但显然,这样使用不好。

    reposync --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata
    
  • 我想知道 reposync 是否拒绝使用密钥,因为它太弱了?MD5。但我想不出任何方法来确认或否认这一点。

  • 我想知道密钥是否真的有有效期?但我找不到任何方法来确认或否认这一点。

答案1

我偶然发现了答案!看来,rpm必须将密钥库保存在与分开的地方/etc/pki/rpm-gpg,并且似乎不足以gpgkey=在 repo 文件中指定该行。

完成此操作后,reposync即可工作并正确验证所有文件的所有签名:

rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt

另请参阅rpm 在哪里安装自定义 gpg 密钥?。密钥存储在 rpm 数据库中,可以使用以下命令进行查询和删除:

List the installed keys
    rpm -qa gpg-pubkey*

Get info about a particular installed key
    rpm -qi gpg-pubkey-db42a60e

Remove a particular installed key
    rpm -e gpg-pubkey-db42a60e

与@sciurus的回答相反,此信息是不是在手册页中(至少在 RHEL 7.4 中没有)。

相关内容