CentOS: metadati di yum firmati

CentOS ha aggiunto la firma digitale ai metadati del repository degli aggiornamenti alle versioni 6 e 7.

Fin’ora yum, il programma utilizzato per scaricare gli aggiornamenti, di default verificava solamente la firma digitale dei pacchetti RPM.

Per attivare la verifica della firma del file repomd.xml.asc che contiene i metadati editare il file di configurazione /etc/yum.repos.d/CentOS-Base.repo e aggiungere questa riga nella sezione [updates]

repo_gpgcheck=1

Una volta salvato il file, eseguire yum update per rileggere i metadati.

Quando yum scarica le informazioni sugli aggiornamenti appare questo messaggio in CentOS 6

Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
Importing GPG key 0xC105B9DE:
 Userid : CentOS-6 Key (CentOS 6 Official Signing Key) <centos-6-key@centos.org>
 Package: centos-release-6-6.el6.centos.12.2.x86_64 (@base)
 From   : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
Is this ok [y/N]:

e questo messaggio in CentOS 7

Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Importing GPG key 0xF4A80EB5:
 Userid     : "CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>"
 Fingerprint: 6341 ab27 53d7 8a78 a7c2 7bb1 24c6 a8a7 f4a8 0eb5
 Package    : centos-release-7-1.1503.el7.centos.2.8.x86_64 (@base)
 From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7
Is this ok [y/N]:

Per approfondire l’implementazione di GPG nelle procedure di installazione e aggiornamento di CentOS si può leggere questo articolo.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento