Intereting Posts
mv файл в / dev / null breaks dev / null Слишком рано попробовать LibreSSL? Ошибка: GLX недоступен в системе В Linux какая настройка позволит чередовать данные на нескольких дисках? Директива Sudo для чтения файла журнала Являются ли ограничения в linux (например, контролируемыми ulimit или /etc/security/limits.conf) для каждого пользователя или для каждого пользователя за процесс? Vi vs vim, или, есть ли причина, по которой я когда-либо захочу использовать vi? Какое хорошее, небольшое распределение для строительства прибора? Как мне узнать, сколько времени занимает pg_restore в командной строке? Правильный способ создания сжатого, rsyncable зеркала каталога? как сделать двойные мониторы работать как отдельные мониторы, а не дублировать? Монетный двор Linux 14 Прочитать файл Где найти серверы имен, полученные от DHCP (через NetworkManager)? Двойная переменная в bash Как установить плагин nagios NRPE на CentOS 5 с помощью yum?

Являются ли пакеты криптографически подписанными в Fedora 14?

Я устанавливаю Fedora 14, и мне интересно, если

  1. пакеты Fedora криптографически подписаны
  2. Пакеты подписей проверяются установщиком по умолчанию
  3. сигнатуры пакетов проверяются yum при установке дополнительных пакетов или выполнении обновлений

Пакеты криптографически подписаны, и установщик пакета yum проверяет эти подписи при добавлении пакетов после факта. Однако первоначальный установщик не проверяет подписи пакетов. Это сложная проблема, потому что: как вы проверяете, что криптографические подписи, которые у вас есть на вашем установочном носителе, хороши, когда вы по определению не доверяете установке носителя?

Смотрите эту запись Fedora bugzilla для истории и деталей. Это самая старая ошибка, которая все еще открыта в базе данных Red Hat, и она настолько стар, что это всего лишь три цифры. (Новые ошибки теперь пронумерованы в шестьсот тысяч.)

Но весь установочный DVD проверяется, и вы можете убедиться, что это хорошо извне, прежде чем начать установку с файлов контрольной суммы, которые криптографически подписаны. Таким образом, если вы очень обеспокоены (и в этом дне и возрасте, это хорошо), выполните установку без сети после проверки ISO, который вы загружаете с помощью ключа GPG, с официального веб-сайта Project Fedora.

Поэтому, чтобы ответить на ваши три вопроса: да, вроде, да.

Согласно Документации Fedora :

Все пакеты Fedora подписаны с помощью ключа GPG Fedora. GPG означает GNU Privacy Guard, или GnuPG, бесплатный пакет программного обеспечения, используемый для обеспечения подлинности распределенных файлов. Например, закрытый ключ (секретный ключ) блокирует пакет, в то время как открытый ключ разблокирует и проверяет пакет. Если открытый ключ, распространенный Fedora, не соответствует закрытому ключу во время проверки RPM, пакет может быть изменен и, следовательно, не может быть доверен.

Утилита RPM в Fedora автоматически пытается проверить подпись GPG пакета RPM перед его установкой. Если ключ Fedora GPG не установлен, установите его из безопасного статического местоположения, такого как установочный компакт-диск или DVD-диск Fedora.

Кроме того, согласно документации Yum :

Yum обеспечивает безопасное управление пакетами, позволяя включить проверку подписи GPG (Gnu Privacy Guard, также известную как GnuPG) для пакетов, подписанных GPG, для всех репозиториев пакетов (то есть источников пакетов) или для отдельных репозиториев. Когда включена проверка подписи, Yum откажется устанавливать любые пакеты, а не GPG-подписанные с правильным ключом для этого репозитория. Это означает, что вы можете доверять тому, что пакеты RPM, которые вы загружаете и устанавливаете в вашей системе, находятся в надежном источнике, таком как проект Fedora, и не были изменены во время передачи.

В недавно установленной системе Fedora 14, /etc/yum.conf включает

 gpgcheck=1 

Указывает, что эта функция yum включена по умолчанию.

Таким образом, кажется, что ответы на (1) и (3) являются «Да». Я считаю, что ответ на (2) сложнее.

Как на DVD, так и на Live CD есть возможность проверить весь диск. Если вы заинтересованы в целостности вашего установочного носителя, вы можете использовать эту встроенную функциональность (см. Документацию ). Если вы больше озабочены безопасностью, вы можете проверить ISO перед записью, используя предоставленный здесь метод:

https://fedoraproject.org/en/verify

(См. Этот вопрос, чтобы узнать, как получить контрольную сумму для уже сгоревшего CD.)

ОБНОВЛЕНО : если вы устанавливаете с помощью Live CD, я считаю, что изображение в реальном времени копируется непосредственно на ваш диск, поэтому пакеты не устанавливаются менеджером пакетов, и их подписи не проверяются. Если вы устанавливаете с помощью сетевой установки или полного DVD, подписи GPG по-прежнему не проверяются. См. Ответ mattdm.