RHEL/CentOS/Fedora:验证用于软件包更新的GPG密钥

时间:2020-01-09 10:43:10  来源:igfitidea点击:

如何验证系统使用正确的GPG密钥来验证在RHEL 5或者6服务器操作系统下从RHN或者Repo安装的所有修补程序,软件包和更新?
可以使用rpm/yum和gpg命令本身对所有软件包进行加密验证。
您需要使用/etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release文件。

RHN或者第三方Fedora Linux存储库中的所有软件包均使用GPG签名签名。

yum命令将验证这些签名,并拒绝安装任何未签名或者签名错误的软件包。
这可以确保RHN的软件包由Red Hat,Inc提供,并且未被其他人修改。

验证已安装的密钥

要验证RHEL服务器系统上安装的密钥是否与此处列出的密钥匹配,请使用GnuPG检查密钥的指纹是否匹配:

# gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release

输出示例:

pub  4096R/FD431D51 2009-10-22 Red Hat, Inc. (release key 2) 
      Key fingerprint = 567E 347A D004 4ADE 55BA  8A5F 199E 2F91 FD43 1D51
pub  1024D/2FA658E0 2006-12-01 Red Hat, Inc. (auxiliary key) 
      Key fingerprint = 43A6 E49C 4A38 F4BE 9ABF  2A53 4568 9C88 2FA6 58E0

如何确定系统已安装Red Hat GPG密钥?

执行以下命令:

# rpm -q --queryformat "%{SUMMARY}\n" gpg-pubkey

输出示例(应与来自RHEL v6.1 Santiago的示例进行如下匹配):

gpg(Red Hat, Inc. (release key 2) )
gpg(Red Hat, Inc. (auxiliary key) )