在 RHEL 7.4 系统上,我添加 salt-latest repo 如下:
yum -y install https://repo.saltstack.com/yum/redhat/salt-repo-latest-2.el7.noarch.rpm
请注意,除其他事项外,这将创建以下两个 GPG 密钥文件:
/etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
/etc/pki/rpm-gpg/saltstack-signing-key
供以后参考,请注意 CentOS 密钥的指纹以 f4a80eb5 结尾:
# gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
pub 4096R/F4A80EB5 2014-06-23 CentOS-7 Key (CentOS 7 Official Signing Key) <[email protected]>
Key fingerprint = 6341 AB27 53D7 8A78 A7C2 7BB1 24C6 A8A7 F4A8 0EB5
尝试重新同步下载:
mkdir /root/foobar
reposync --gpgcheck --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata
它会失败并出现如下错误:
Removing babel-0.9.6-8.el7.noarch.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.i686.rpm, due to missing GPG key.
Removing libyaml-0.1.4-11.el7_0.x86_64.rpm, due to missing GPG key.
因此,我手动下载了所有失败的文件(在 for 循环中)并检查了它们的签名密钥的签名。它们都是一样的,因此这里仅举其中一个例子:
wget http://repo.saltstack.com/yum/redhat/7/x86_64/latest/base/babel-0.9.6-8.el7.noarch.rpm
rpm -K babel-0.9.6-8.el7.noarch.rpm
babel-0.9.6-8.el7.noarch.rpm: RSA sha1 ((MD5) PGP) md5 NOT OK (MISSING KEYS: (MD5) PGP#f4a80eb5)
注意,该密钥PGP#f4a80eb5
与上面引用的密钥匹配F4A8 0EB5
。那么为什么它无法通过 gpg 检查呢?
我尝试过的方法包括:
我编辑
/etc/yum.repos.d/salt-latest.repo
并更改了该gpgkey=
行。这三种变体都出现了同样的失败。据我所知,更改该gpgkey=
行没有任何效果:gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt gpgkey=file:///etc/pki/rpm-gpg/saltstack-signing-key,file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
我尝试
reposync
不用 来运行--gpgcheck
。它可以工作,但显然,这样使用不好。reposync --plugins --repoid=salt-latest --download_path=/root/foobar --newest-only --downloadcomps --delete --download-metadata
我想知道 reposync 是否拒绝使用密钥,因为它太弱了?MD5。但我想不出任何方法来确认或否认这一点。
我想知道密钥是否真的有有效期?但我找不到任何方法来确认或否认这一点。
答案1
我偶然发现了答案!看来,rpm
必须将密钥库保存在与分开的地方/etc/pki/rpm-gpg
,并且似乎不足以gpgkey=
在 repo 文件中指定该行。
完成此操作后,reposync
即可工作并正确验证所有文件的所有签名:
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7-Salt
另请参阅rpm 在哪里安装自定义 gpg 密钥?。密钥存储在 rpm 数据库中,可以使用以下命令进行查询和删除:
List the installed keys
rpm -qa gpg-pubkey*
Get info about a particular installed key
rpm -qi gpg-pubkey-db42a60e
Remove a particular installed key
rpm -e gpg-pubkey-db42a60e
与@sciurus的回答相反,此信息是不是在手册页中(至少在 RHEL 7.4 中没有)。