Come faccio a sapere con quale chiave GPG è stato firmato un pacchetto RPM?

26

La firma crittografica di un RPM può essere verificata con il rpm -Kcomando. Ciò restituisce una stringa contenente gpg(o pgp) e termina OKse la firma è nel database RPM ed è valida.

Se il pacchetto non è firmato ma i checksum sono validi, otterrai comunque OK, ma no gpg.

Se il pacchetto è firmato ma la chiave non è presente nel database RPM, si ottiene (GPG)(lettere maiuscole) e NOT OKAY, seguito da (MISSING KEYS: GPG#deadbeef).

È utile se voglio capire quale chiave dovrei trovare per far funzionare l'installazione del mio pacchetto.

E se volessi verificare quale delle diverse chiavi del mio portachiavi RPM è stata utilizzata per firmare un determinato pacchetto?

rpm  packaging  cryptography  gpg 
mattdm
fonte

Risposte:

12 
rpm -qa --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n'
Philip Durbin
fonte
Funziona solo se hai già installato il pacchetto, la soluzione di Brightlancer di seguito ti consente di controllare una firma prima dell'installazione
Thomas
3
Funziona bene anche per un pacchetto disinstallato se lo si sostituisce -acon -p packagename.rpm.
Larks
26

C'è un campo Firma elencato tramite rpm -qpi package.rpm, ad es .:

[vagrant@vm-one ~]$ rpm -qpi puppet-3.7.4-1.el6.noarch.rpm
Name        : puppet
Version     : 3.7.4
Release     : 1.el6
Architecture: noarch
Install Date: (not installed)
Group       : System Environment/Base
Size        : 6532300
License     : ASL 2.0
Signature   : RSA/SHA512, Tue 27 Jan 2015 11:17:18 PM UTC, Key ID 1054b7a24bd6ec30
Source RPM  : puppet-3.7.4-1.el6.src.rpm
Build Date  : Mon 26 Jan 2015 11:48:15 PM UTC
Build Host  : tahoe.delivery.puppetlabs.net
Relocations : (not relocatable)
Vendor      : Puppet Labs
URL         : http://puppetlabs.com
Summary     : A network tool for managing many disparate systems
Description :
Puppet lets you centrally manage every important aspect of your system using a
cross-platform specification language that manages all the separate elements
normally aggregated in different files, like users, cron jobs, and hosts,
along with obviously discrete elements like packages, services, and files.
brightlancer
fonte
8

Per scoprire quale chiave GPG nel tuo database RPM ha firmato un numero di giri specifico, procedere come segue:

Elenca tutte le chiavi GPG nel tuo database RPM:

$ rpm -qa gpg-pubkey*
...
...
gpg-pubkey-b1275ea3-546d1808
...
...

Assicurati innanzitutto che l'rpm in questione sia firmato con una chiave nel tuo DB RPM:

$ rpm -K hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Alla fine stai cercando OK e non "NON OK (MISSING KEYS", il che significa che è stato firmato, ma da una chiave non presente nel tuo DB RPM.

Bene, quindi il numero di giri che stiamo controllando è stato firmato da una chiave nel nostro database RPM.

E quindi ottenere l'ID chiave con cui rpm era firmato:

$ rpm -q --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n' -p hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4 RSA/SHA1, Tue Apr 14 12:34:51 2015, Key ID fadd8d64b1275ea3 (none)

Ora puoi vedere se gli ultimi 8 caratteri dell'ID chiave (cioè b1275ea3 da fadd8d64b1275ea3) corrispondono a uno degli 8 caratteri che seguono gpg-pubkey- dal primo comando. E in questo caso, lo fa!

E poi hai la chiave in questione, quindi fai:

$ rpm -qi gpg-pubkey-b1275ea3-546d1808

per vedere, in questo esempio, che era la chiave di HP a firmare questo numero di giri.

Spero che sia di aiuto. Mi ci è voluto un po 'per capire. :-)

Seekoei
fonte
5

Emettere less <rpm file>e controllare la Signaturevoce, ad es .:

[vagrant@vm-one ~]$ less artifactory-3.5.3.rpm
Name        : artifactory
Version     : 3.5.3
Release     : 30172
Architecture: noarch
Install Date: (not installed)
Group       : Development/Tools
Size        : 42286184
License     : LGPL
Signature   : (none)
Source RPM  : artifactory-3.5.3-30172.src.rpm
Build Date  : Thu 19 Mar 2015 04:47:04 PM UTC
Build Host  : artbuild2.jfrog.local
Relocations : (not relocatable)
Vendor      : JFrog Ltd.
URL         : http://www.jfrog.org
Summary     : Binary Repository Manager
Description :
The best binary repository manager around.
-rwxrwxr-x    1 root    root                     7891 Mar 19 16:47 /etc/init.d/artifactory
drwxr-xr-x    2 artifactartifact                    0 Mar 19 16:47 /etc/opt/jfrog/artifactory
-rwxrwx---    1 artifactartifact                 9855 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.config.xml
-rwxrwx---    1 artifactartifact                11172 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.system.properties
-rwxrwx---    1 artifactartifact                  457 Mar 19 16:47 /etc/opt/jfrog/artifactory/default
-rwxrwx---    1 artifactartifact                 6858 Mar 19 16:47 /etc/opt/jfrog/artifactory/logback.xml
-rwxrwx---    1 artifactartifact                 5470 Mar 19 16:47 /etc/opt/jfrog/artifactory/mimetypes.xml
drwxrwxr-x    2 root    root                        0 Mar 19 16:47 /opt/jfrog
drwxrwxr-x    2 root    root                        0 Mar 19 16:47 /opt/jfrog/artifactory/bin
-rwxrwxr-x    1 root    root                   103424 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory-service.exe
-rwxrwxr-x    1 root    root                     1366 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.bat
-rwxrwxr-x    1 root    root                      457 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.default
artifactory-3.5.3.rpm
Sirex
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.