Як визначити, з яким ключем GPG було підписано пакет RPM?

26

Криптографічний підпис RPM можна перевірити за допомогою rpm -Kкоманди. Це повертає рядок, що містить gpg(або pgp) і закінчується, OKякщо підпис знаходиться в базі даних RPM і є дійсним.

Якщо пакет не підписаний, але контрольні суми дійсні, ви все одно отримаєте OK, але ні gpg.

Якщо пакет підписаний, але ключ відсутній у базі даних RPM, ви отримуєте (GPG)(великі літери) і NOT OKAY, за ним (MISSING KEYS: GPG#deadbeef).

Це зручно, якщо я хочу розібратися, який ключ мені слід встановити, щоб зробити роботу моєї установки пакетом.

Але що робити, якщо я хочу перевірити, який із декількох ключів у моєму ключі RPM використовувався для підписання певного пакету?

— mattdm
джерело

12

rpm -qa --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n'

— Філіп Дурбін
джерело

Працює лише в тому випадку, якщо ви вже встановили пакет, рішення Brightlancer нижче дозволяє перевірити підпис перед встановленням

— Thomas

3

Це прекрасно працює навіть для невстановленого пакета , якщо замінити -aз -p packagename.rpm.

— larsks

26

Є поле Підпис, перелічене через rpm -qpi package.rpm, наприклад:

[vagrant@vm-one ~]$ rpm -qpi puppet-3.7.4-1.el6.noarch.rpm
Name        : puppet
Version     : 3.7.4
Release     : 1.el6
Architecture: noarch
Install Date: (not installed)
Group       : System Environment/Base
Size        : 6532300
License     : ASL 2.0
Signature   : RSA/SHA512, Tue 27 Jan 2015 11:17:18 PM UTC, Key ID 1054b7a24bd6ec30
Source RPM  : puppet-3.7.4-1.el6.src.rpm
Build Date  : Mon 26 Jan 2015 11:48:15 PM UTC
Build Host  : tahoe.delivery.puppetlabs.net
Relocations : (not relocatable)
Vendor      : Puppet Labs
URL         : http://puppetlabs.com
Summary     : A network tool for managing many disparate systems
Description :
Puppet lets you centrally manage every important aspect of your system using a
cross-platform specification language that manages all the separate elements
normally aggregated in different files, like users, cron jobs, and hosts,
along with obviously discrete elements like packages, services, and files.

— яскравиця
джерело

8

Щоб дізнатися, який ключ GPG у вашій БП RPM підписав специфічний оберт, виконайте це:

Перерахуйте всі ключі GPG у БД RPM:

$ rpm -qa gpg-pubkey*
...
...
gpg-pubkey-b1275ea3-546d1808
...
...

Спочатку переконайтеся , обороти в питанні буде підписаний з ключем у вашому RPM БД:

$ rpm -K hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Ви шукаєте ОК в кінці, і не "НЕ ОК (МІСЛУЄМО КЛЮЧІВ"), що означає, що він був підписаний, але за допомогою ключа, який не знаходиться у вашій БП RPM.

Так, значить, що ми перевіряємо обороти, підписані ключем в нашій БД RPM.

А потім отримайте ідентифікатор ключа, з яким було підписано rpm:

$ rpm -q --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n' -p hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4 RSA/SHA1, Tue Apr 14 12:34:51 2015, Key ID fadd8d64b1275ea3 (none)

Тепер ви можете побачити, чи відповідає останні 8 символів ідентифікатора ключа (тобто b1275ea3 від fadd8d64b1275ea3) будь-якому з 8 символів, наступних за gpg-pubkey - з першої команди. І в цьому випадку це робить!

І тоді у вас є ключ, про який йдеться, так:

$ rpm -qi gpg-pubkey-b1275ea3-546d1808

побачити в цьому прикладі, що саме ключ HP підписав цей оберт.

Сподіваюся, це допомагає. Мені потрібно було трохи розібратися. :-)

— Зеекой
джерело

5

Видайте less <rpm file>та перевіряйте Signatureзапис, наприклад:

[vagrant@vm-one ~]$ less artifactory-3.5.3.rpm
Name        : artifactory
Version     : 3.5.3
Release     : 30172
Architecture: noarch
Install Date: (not installed)
Group       : Development/Tools
Size        : 42286184
License     : LGPL
Signature   : (none)
Source RPM  : artifactory-3.5.3-30172.src.rpm
Build Date  : Thu 19 Mar 2015 04:47:04 PM UTC
Build Host  : artbuild2.jfrog.local
Relocations : (not relocatable)
Vendor      : JFrog Ltd.
URL         : http://www.jfrog.org
Summary     : Binary Repository Manager
Description :
The best binary repository manager around.
-rwxrwxr-x    1 root    root                     7891 Mar 19 16:47 /etc/init.d/artifactory
drwxr-xr-x    2 artifactartifact                    0 Mar 19 16:47 /etc/opt/jfrog/artifactory
-rwxrwx---    1 artifactartifact                 9855 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.config.xml
-rwxrwx---    1 artifactartifact                11172 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.system.properties
-rwxrwx---    1 artifactartifact                  457 Mar 19 16:47 /etc/opt/jfrog/artifactory/default
-rwxrwx---    1 artifactartifact                 6858 Mar 19 16:47 /etc/opt/jfrog/artifactory/logback.xml
-rwxrwx---    1 artifactartifact                 5470 Mar 19 16:47 /etc/opt/jfrog/artifactory/mimetypes.xml
drwxrwxr-x    2 root    root                        0 Mar 19 16:47 /opt/jfrog
drwxrwxr-x    2 root    root                        0 Mar 19 16:47 /opt/jfrog/artifactory/bin
-rwxrwxr-x    1 root    root                   103424 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory-service.exe
-rwxrwxr-x    1 root    root                     1366 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.bat
-rwxrwxr-x    1 root    root                      457 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.default
artifactory-3.5.3.rpm

— Сірекс
джерело