CentOS ha aggiunto la firma digitale ai metadati del repository degli aggiornamenti alle versioni 6 e 7.
Fin’ora yum, il programma utilizzato per scaricare gli aggiornamenti, di default verificava solamente la firma digitale dei pacchetti RPM.
Per attivare la verifica della firma del file repomd.xml.asc
che contiene i metadati editare il file di configurazione /etc/yum.repos.d/CentOS-Base.repo
e aggiungere questa riga nella sezione [updates]
repo_gpgcheck=1
Una volta salvato il file, eseguire yum update
per rileggere i metadati.
Quando yum scarica le informazioni sugli aggiornamenti appare questo messaggio in CentOS 6
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 Importing GPG key 0xC105B9DE: Userid : CentOS-6 Key (CentOS 6 Official Signing Key) <centos-6-key@centos.org> Package: centos-release-6-6.el6.centos.12.2.x86_64 (@base) From : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 Is this ok [y/N]:
e questo messaggio in CentOS 7
Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 Importing GPG key 0xF4A80EB5: Userid : "CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>" Fingerprint: 6341 ab27 53d7 8a78 a7c2 7bb1 24c6 a8a7 f4a8 0eb5 Package : centos-release-7-1.1503.el7.centos.2.8.x86_64 (@base) From : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7 Is this ok [y/N]:
Per approfondire l’implementazione di GPG nelle procedure di installazione e aggiornamento di CentOS si può leggere questo articolo.