Почему rpmfusion рекомендует использовать переключатель nogpgcheck?

См. Раздел командной строки RHEL / CentOS по адресу https://rpmfusion.org/Configuration/.

Разве этот ключ --nogpgcheck позволяет незаметно вмешиваться?

One Solution collect form web for “Почему rpmfusion рекомендует использовать переключатель nogpgcheck?”

Это шаг к преодолению первоначальной проблемы доверия к курице и яйцу с помощью упаковочной системы.

Система упаковки ( yum / rpm ) не доверяет новому хранилищу, поскольку, будучи новым, оно изначально не известно. Таким образом, первым шагом будет сказать системе (криптографически) доверять этому новому хранилищу. Это делается путем подписания пакетов (или в разных системах, выпусков пакетов).

Некоторые методы дают ключ gpg на отдельной веб-странице или сервере ключей для добавления к доверию системы (например: rpm --import (действительно rpmkeys --import ) или эквивалент для apt / dpkg : apt-key add ), а затем настраивают хранилище с правильным файлом, включающим в основном URL-адрес для загрузки и некоторые настройки (например, параметр … gpgcheck=1 ).

Другой способ – поместить этот ключ непосредственно в пакет и позволить пакету добавить ключ и параметры репозитория: вот что здесь сделано, пакет rpmfusion-free-release-7.noarch.rpm содержит только несколько файлов:

 # rpm -qlp rpmfusion-free-release-7.noarch.rpm warning: rpmfusion-free-release-7.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID f5cf6c1e: NOKEY /etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-el-7 /etc/yum.repos.d/rpmfusion-free-updates-testing.repo /etc/yum.repos.d/rpmfusion-free-updates.repo и # rpm -qlp rpmfusion-free-release-7.noarch.rpm warning: rpmfusion-free-release-7.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID f5cf6c1e: NOKEY /etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-el-7 /etc/yum.repos.d/rpmfusion-free-updates-testing.repo /etc/yum.repos.d/rpmfusion-free-updates.repo 

Эти файлы являются ключом и новыми конфигурациями репозиториев, и они include gpgcheck=1 . Обратите внимание, что до установки система не доверяет пакету (следовательно, предупреждение выше с NOKEY ). После установки ключ становится доверенным, и каждое дальнейшее действие будет проверять подписи пакетов с этим добавленным ключом.

Так как этому можно доверять? По-прежнему существует доверие, обеспечиваемое использованием https:// в https://download1.rpmfusion.org/ при его загрузке: оно должно гарантировать, что сайт загрузки, принадлежащий rpmfusion, контролирует этот пакет и его можно загрузить надежно, без вмешательства.

Это не совсем то же самое доверие, потому что доверяют только сайту, а не пакету. Так как вы все равно скачиваете программное обеспечение из rpmfusion, это означает, что вы достаточно доверяете им для загрузки и установки пакетов из них. Этот пакет никогда не следует загружать в первый раз за пределами *.rpmfusion.org для первоначального добавления хранилища (т. --nogpgcheck При установке с помощью --nogpgcheck ), иначе вам теперь нужно будет доверять зеркалу, чтобы фактически предоставить тот же пакет, а не другой с таким же именем, например с дополнительными ключами или хуже.

В любом случае, при использовании первого метода вы все равно должны были прочитать инструкции о том, как добавить ключ и как-то загрузить пакет, поэтому вам все равно пришлось изначально доверять этим инструкциям. Вот что я называю курицей и яйцом: ты должен начать доверять где-нибудь.

Как только это первоначальное доверие произошло, обо всем остальном «позаботились» надежно. Даже если новый ключ должен быть предоставлен, это будет сделано с обновлением rpmfusion-free-release с (а) заменяющим ключом (ключами) внутри, и он останется защищенным, даже если он загружен с зеркала и / или без https:// . Это действительно так для этого репозитория: он использует зеркала и, вероятно, обычный http. Вам больше никогда не понадобится --nogpgcheck .

Linux и Unix - лучшая ОС в мире.