这可能是一个愚蠢的问题,但是......
我们的安全人员更喜欢为所有要安装的 RPM 启用 GPG 检查。我们最近开始使用来自 CentOS.Org 软件包的软件包。当我尝试安装这些时,yum有用地对我大喊大叫没有可验证的密钥。当我查看有关 GPG 密钥的 CentOS.Org 站点页面时,SCL 软件包显示为具有密钥/指纹,但与该页面上列出的其他密钥不同,没有下载链接。
GPG 验证密钥是根本不可用,还是我只是遗漏了一些非常明显的东西?无论如何,在追踪我可以安装到我的系统中的检查密钥方面的任何帮助都会有很大帮助。
每个 SIG 都有自己的密钥,公钥分布在 CentOS Extras 存储库的 -release 包中。Extras repo 包然后由CentOS GPG Keys中的主要“CentOS 7 Signing Key”签名。
SCLo SIG(特殊兴趣组)的密钥在 CentOS 主密钥列表中缺失,但它仍然在发行包中可用。
运行yum install centos-release-scl(来自 Extras)以自动配置存储库和公钥。
或者如果您想要一份公钥本身的副本,您可以从 centos-release-scl 包中手动提取并验证它:
yumdownloader centos-release-scl(来自 yum-utils)。根据常规 CentOS 密钥验证文件:
$ rpm -K centos-release-scl-2-2.el7.centos.noarch.rpm
centos-release-scl-2-2.el7.centos.noarch.rpm: rsa sha1 (md5) pgp md5 OK
将 RPM 中的密钥提取到SCLo.pub:
$ rpm2cpio centos-release-scl-2-2.el7.centos.noarch.rpm | cpio -i --to-stdout ./etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-SIG-SCLo > SCLo.pub