![如何重新同步 saltstack?reposync 失败并显示错误消息“由于缺少 GPG 密钥,正在删除 [...]。”](https://linux22.com/image/723976/%E5%A6%82%E4%BD%95%E9%87%8D%E6%96%B0%E5%90%8C%E6%AD%A5%20saltstack%EF%BC%9Freposync%20%E5%A4%B1%E8%B4%A5%E5%B9%B6%E6%98%BE%E7%A4%BA%E9%94%99%E8%AF%AF%E6%B6%88%E6%81%AF%E2%80%9C%E7%94%B1%E4%BA%8E%E7%BC%BA%E5%B0%91%20GPG%20%E5%AF%86%E9%92%A5%EF%BC%8C%E6%AD%A3%E5%9C%A8%E5%88%A0%E9%99%A4%20%5B...%5D%E3%80%82%E2%80%9D.png)
在 RHEL 7.4 系统上,我添加 salt-latest repo 如下:
yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm
请注意,除其他事项外,这将创建以下两个 GPG 密钥文件:
/etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
/etc/pki/rpm-gpg/saltstack-signing-key
供以后参考,请注意 CentOS 密钥的指纹以 f4a80eb5 结尾:
# gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
pub 4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
Key fingerprint = 6341 AB27 53D7 8A78 A7C2 7BB1 24C6 A8A7 F4A8 0EB5
尝试重新同步下载:
mkdir /root/foobar
reposync --gpgcheck --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata
它会失败并出现如下错误:
Removing babel-0.9.6-8.el7.noarch.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.i686.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.x86_64.rpm, due to missing GPG key.
因此,我手动下载了所有失败的文件(在 for 循环中)并检查了它们的签名密钥的签名。它们都是一样的,因此这里仅举其中一个例子:
wget http://repo.saltstack.com/yum/redhat/7/x86_64/latest/base/babel-0.9.6-8.el7.noarch.rpm
rpm -K babel-0.9.6-8.el7.noarch.rpm
babel-0.9.6-8.el7.noarch.rpm: RSA sha1 ((MD5) PGP) md5 NOT OK (MISSING KEYS: (MD5) PGP#f4a80eb5)
注意,该密钥PGP#f4a80eb5与上面引用的密钥匹配F4A8 0EB5。那么为什么它无法通过 gpg 检查呢?
我尝试过的方法包括:
我编辑
/etc/yum.repos.d/salt-latest.repo并更改了该gpgkey=行。这三种变体都出现了同样的失败。据我所知,更改该gpgkey=行没有任何效果:gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key,file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt我尝试
reposync不用 来运行--gpgcheck。它可以工作,但显然,这样使用不好。reposync --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata我想知道 reposync 是否拒绝使用密钥,因为它太弱了?MD5。但我想不出任何方法来确认或否认这一点。
我想知道密钥是否真的有有效期?但我找不到任何方法来确认或否认这一点。
答案1
我偶然发现了答案!看来,rpm必须将密钥库保存在与分开的地方/etc/pki/rpm-gpg,并且似乎不足以gpgkey=在 repo 文件中指定该行。
完成此操作后,reposync即可工作并正确验证所有文件的所有签名:
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
另请参阅rpm 在哪里安装自定义 gpg 密钥?。密钥存储在 rpm 数据库中,可以使用以下命令进行查询和删除:
List the installed keys
rpm -qa gpg-pubkey*
Get info about a particular installed key
rpm -qi gpg-pubkey-db42a60e
Remove a particular installed key
rpm -e gpg-pubkey-db42a60e
与@sciurus的回答相反,此信息是不是在手册页中(至少在 RHEL 7.4 中没有)。