La signature cryptographique d'un RPM peut être vérifiée avec le rpm -K
commande. Cela retourne une chaîne contenant gpg
(ou pgp
) et se terminant par OK
si la signature est dans la base de données de RPM et est valide.
Si le colis n'est pas signé mais que les checksums sont valides, vous obtiendrez toujours OK
, mais pas gpg
.
Si le colis est signé mais la clé est manquante dans la base de données RPM, vous obtenez (GPG)
(lettres majuscules) et NOT OKAY
, suivie par (MISSING KEYS: GPG#deadbeef)
.
C'est pratique si je veux comprendre quelle clé je devrais trouver à installer pour que mon travail d'installation de colis.
Mais si je veux vérifier qui de plusieurs clés dans mon trottoir RPM a été utilisé pour signer un paquet donné?
Il y a un champ de signature répertorié via rpm -qpi package.rpm
, par exemple.,:
[vagrant@vm-one ~]$ rpm -qpi puppet-3.7.4-1.el6.noarch.rpm
Name : puppet
Version : 3.7.4
Release : 1.el6
Architecture: noarch
Install Date: (not installed)
Group : System Environment/Base
Size : 6532300
License : ASL 2.0
Signature : RSA/SHA512, Tue 27 Jan 2015 11:17:18 PM UTC, Key ID 1054b7a24bd6ec30
Source RPM : puppet-3.7.4-1.el6.src.rpm
Build Date : Mon 26 Jan 2015 11:48:15 PM UTC
Build Host : tahoe.delivery.puppetlabs.net
Relocations : (not relocatable)
Vendor : Puppet Labs
URL : http://puppetlabs.com
Summary : A network tool for managing many disparate systems
Description :
Puppet lets you centrally manage every important aspect of your system using a
cross-platform specification language that manages all the separate elements
normally aggregated in different files, like users, cron jobs, and hosts,
along with obviously discrete elements like packages, services, and files.
Pour savoir quelle clé GPG dans votre DB DB a signé un RPM spécifique, faites ceci:
Répertoriez toutes les clés GPG dans votre DB DB:
$ rpm -qa gpg-pubkey*
...
...
gpg-pubkey-b1275ea3-546d1808
...
...
D'abord, assurez-vous que le RPM en question est signé avec une clé de votre DB DB:
$ rpm -K hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
Vous recherchez l'OK à la fin, et non pas 'Pas d'accord (touches manquantes ", ce qui signifiera qu'il a été signé, mais par une clé non dans votre DB DB.
Droite, donc le régime que nous vérifie a été signé par une clé de notre DB DB.
Puis obtenir l'identifiant de la clé Le RPM a été signé avec:
$ rpm -q --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n' -p hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4 RSA/SHA1, Tue Apr 14 12:34:51 2015, Key ID fadd8d64b1275ea3 (none)
Maintenant, vous pouvez voir si les 8 derniers caractères de l'ID de clé (I.E. B1275EA3 de FADD8D64B1275EA3) correspondent à l'un des 8 caractères suivant GPG-PUBKEY- de la première commande. Et dans ce cas, ça fait!
Et puis vous avez la clé en question, alors faites:
$ rpm -qi gpg-pubkey-b1275ea3-546d1808
pour voir, dans cet exemple, que c'était la clé de HP qui a signé ce RPM.
J'espère que cela t'aides. M'a pris un certain temps pour comprendre. :-)
Problème less <rpm file>
et vérifier l'entrée Signature
, E.g. ,:
[vagrant@vm-one ~]$ less artifactory-3.5.3.rpm
Name : artifactory
Version : 3.5.3
Release : 30172
Architecture: noarch
Install Date: (not installed)
Group : Development/Tools
Size : 42286184
License : LGPL
Signature : (none)
Source RPM : artifactory-3.5.3-30172.src.rpm
Build Date : Thu 19 Mar 2015 04:47:04 PM UTC
Build Host : artbuild2.jfrog.local
Relocations : (not relocatable)
Vendor : JFrog Ltd.
URL : http://www.jfrog.org
Summary : Binary Repository Manager
Description :
The best binary repository manager around.
-rwxrwxr-x 1 root root 7891 Mar 19 16:47 /etc/init.d/artifactory
drwxr-xr-x 2 artifactartifact 0 Mar 19 16:47 /etc/opt/jfrog/artifactory
-rwxrwx--- 1 artifactartifact 9855 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.config.xml
-rwxrwx--- 1 artifactartifact 11172 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.system.properties
-rwxrwx--- 1 artifactartifact 457 Mar 19 16:47 /etc/opt/jfrog/artifactory/default
-rwxrwx--- 1 artifactartifact 6858 Mar 19 16:47 /etc/opt/jfrog/artifactory/logback.xml
-rwxrwx--- 1 artifactartifact 5470 Mar 19 16:47 /etc/opt/jfrog/artifactory/mimetypes.xml
drwxrwxr-x 2 root root 0 Mar 19 16:47 /opt/jfrog
drwxrwxr-x 2 root root 0 Mar 19 16:47 /opt/jfrog/artifactory/bin
-rwxrwxr-x 1 root root 103424 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory-service.exe
-rwxrwxr-x 1 root root 1366 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.bat
-rwxrwxr-x 1 root root 457 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.default
artifactory-3.5.3.rpm