インストールされたrpmパッケージ署名の確認

tag-icon tag-icon security rpm signature integrity
インストールされたrpmパッケージ署名の確認

私のシステムにインストールされているすべてのrpmパッケージの整合性を確認したいと思います。

rpmファイル自体があれば実行しますがrpm -Kv PACKAGE.rpm、もともとrpmがなければどのように同じ目標を達成できますか?

署名とダイジェストデータはrpmデータベースに保存されていますか?

rpm内でファイルを確認できることはわかっていますが、rpm -Va PACKAGE_NAME署名は確認せずにファイルダイジェストのみを確認してください。

ベストアンサー1

パッケージがすでにインストールされている場合は遅すぎます。パッケージがまだ/var/cache/{dnf,yum}/にある可能性が少なくなります。

署名を確認する最善の方法は、リポジトリファイルを作成し(baseurlがファイルの場所を指している場合でも)、gpgcheck 1そのリポジトリファイルに設定することです。

次のコマンドを実行すると、デフォルトはFalseなので、変数をTrueに設定するdnf install foo.rpm必要があります。dnf.conflocalpkg_gpgcheck

またrpm -qi bash、以下を実行すると、署名に関する情報があります。

Signature   : RSA/SHA256, Fri Dec  6 13:24:09 2019, Key ID 50cb390b3c3359c4

すべてのgpgキーはrpmdbにインポートされ、そこの他のパッケージのように見えます。だからあなたはこれを行うことができます:

$  # suffix of the gpg key from the command above
$ rpm -qa |grep 9c4
gpg-pubkey-3c3359c4-5c6ae44d

$ rpm -qi gpg-pubkey-3c3359c4-5c6ae44d
Name        : gpg-pubkey
Version     : 3c3359c4
Release     : 5c6ae44d
Architecture: (none)
Install Date: Ne 18. srpna 2019, 15:49:39 CEST
Group       : Public Keys
Size        : 0
License     : pubkey
Signature   : (none)
Source RPM  : (none)
Build Date  : Po 18. února 2019, 17:58:53 CET
Build Host  : localhost
Packager    : Fedora (31) <[email protected]>
Summary     : gpg(Fedora (31) <[email protected]>)
Description :
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: rpm-4.14.2.1 (NSS-3)
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=6hRW
-----END PGP PUBLIC KEY BLOCK-----

これが良い鍵であるかどうかを判断することはあなた次第です。

しかし、残念ながら、rpmペイロード署名が実際に署名された署名と一致するかどうかはまだわかりません。 :(

おすすめ記事