CentOS SCL RPM 的软件包验证密钥

Posted 2023-03-10

【中文标题】CentOS SCL RPM 的软件包验证密钥

【英文标题】：Package Verification Keys for CentOS SCL RPMs

【发布时间】：2017-08-15 21:56:19

【问题描述】：

这可能是一个愚蠢的问题，但是......

我们的安全人员更愿意为所有要安装的 RPM 启用 GPG 检查。我们最近开始使用来自 CentOS.Org 软件包的软件包。当我尝试安装这些时，yum 很有帮助地对我大喊大叫，因为我没有可验证的密钥。当我查看有关 GPG 密钥的 CentOS.Org 站点页面时，SCL 包显示为具有密钥/指纹，但与该页面上列出的其他密钥不同，没有下载链接。

是 GPG 验证密钥根本不可用，还是我只是遗漏了一些非常明显的东西？无论如何，在追踪我可以安装到我的系统中的检查密钥方面的任何帮助都会有很大帮助。

【问题讨论】：

它应该与 CentOS 中的其他所有内容相同。

【参考方案1】：

每个 SIG 都有自己的密钥，公钥分布在 CentOS Extras 存储库的 -release 包中。 Extras repo 包然后由来自CentOS GPG Keys 的主要“CentOS 7 签名密钥”签名。

CentOS 主密钥列表中 SCLo SIG（特殊兴趣组）is missing 的密钥，但它仍然在发布包中可用。

运行 yum install centos-release-scl（来自 Extras）以自动配置存储库和公钥。

或者如果你想要一个公钥本身的副本，你可以从 centos-release-scl 包中手动提取并验证它：

直接下载centos-release-scl RPM，或使用yumdownloader centos-release-scl（来自yum-utils）。

对照常规 CentOS 密钥验证文件：

$ rpm -K centos-release-scl-2-2.el7.centos.noarch.rpm
centos-release-scl-2-2.el7.centos.noarch.rpm: rsa sha1 (md5) pgp md5 OK

从 RPM 中提取密钥到SCLo.pub：

$ rpm2cpio centos-release-scl-2-2.el7.centos.noarch.rpm | cpio -i --to-stdout ./etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-SIG-SCLo > SCLo.pub

【讨论】：

谢谢。这几乎就是我最终要做的。