Come faccio a sapere con quale chiave GPG è stato firmato un pacchetto RPM?


26

La firma crittografica di un RPM può essere verificata con il rpm -Kcomando. Ciò restituisce una stringa contenente gpg(o pgp) e termina OKse la firma è nel database RPM ed è valida.

Se il pacchetto non è firmato ma i checksum sono validi, otterrai comunque OK, ma no gpg.

Se il pacchetto è firmato ma la chiave non è presente nel database RPM, si ottiene (GPG)(lettere maiuscole) e NOT OKAY, seguito da (MISSING KEYS: GPG#deadbeef).

È utile se voglio capire quale chiave dovrei trovare per far funzionare l'installazione del mio pacchetto.

E se volessi verificare quale delle diverse chiavi del mio portachiavi RPM è stata utilizzata per firmare un determinato pacchetto?

Risposte:


12
rpm -qa --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n'

Funziona solo se hai già installato il pacchetto, la soluzione di Brightlancer di seguito ti consente di controllare una firma prima dell'installazione
Thomas

3
Funziona bene anche per un pacchetto disinstallato se lo si sostituisce -acon -p packagename.rpm.
Larks

26

C'è un campo Firma elencato tramite rpm -qpi package.rpm, ad es .:

[vagrant@vm-one ~]$ rpm -qpi puppet-3.7.4-1.el6.noarch.rpm
Name        : puppet
Version     : 3.7.4
Release     : 1.el6
Architecture: noarch
Install Date: (not installed)
Group       : System Environment/Base
Size        : 6532300
License     : ASL 2.0
Signature   : RSA/SHA512, Tue 27 Jan 2015 11:17:18 PM UTC, Key ID 1054b7a24bd6ec30
Source RPM  : puppet-3.7.4-1.el6.src.rpm
Build Date  : Mon 26 Jan 2015 11:48:15 PM UTC
Build Host  : tahoe.delivery.puppetlabs.net
Relocations : (not relocatable)
Vendor      : Puppet Labs
URL         : http://puppetlabs.com
Summary     : A network tool for managing many disparate systems
Description :
Puppet lets you centrally manage every important aspect of your system using a
cross-platform specification language that manages all the separate elements
normally aggregated in different files, like users, cron jobs, and hosts,
along with obviously discrete elements like packages, services, and files.

8

Per scoprire quale chiave GPG nel tuo database RPM ha firmato un numero di giri specifico, procedere come segue:

Elenca tutte le chiavi GPG nel tuo database RPM:

$ rpm -qa gpg-pubkey*
...
...
gpg-pubkey-b1275ea3-546d1808
...
...

Assicurati innanzitutto che l'rpm in questione sia firmato con una chiave nel tuo DB RPM:

$ rpm -K hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

Alla fine stai cercando OK e non "NON OK (MISSING KEYS", il che significa che è stato firmato, ma da una chiave non presente nel tuo DB RPM.

Bene, quindi il numero di giri che stiamo controllando è stato firmato da una chiave nel nostro database RPM.

E quindi ottenere l'ID chiave con cui rpm era firmato:

$ rpm -q --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SIGPGP:pgpsig} %{SIGGPG:pgpsig}\n' -p hp/mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4.x86_64.rpm
mlnx-en-utils-2.2-1.0.7.0.g0055740.rhel6u4 RSA/SHA1, Tue Apr 14 12:34:51 2015, Key ID fadd8d64b1275ea3 (none)

Ora puoi vedere se gli ultimi 8 caratteri dell'ID chiave (cioè b1275ea3 da fadd8d64b1275ea3) corrispondono a uno degli 8 caratteri che seguono gpg-pubkey- dal primo comando. E in questo caso, lo fa!

E poi hai la chiave in questione, quindi fai:

$ rpm -qi gpg-pubkey-b1275ea3-546d1808

per vedere, in questo esempio, che era la chiave di HP a firmare questo numero di giri.

Spero che sia di aiuto. Mi ci è voluto un po 'per capire. :-)


5

Emettere less <rpm file>e controllare la Signaturevoce, ad es .:

[vagrant@vm-one ~]$ less artifactory-3.5.3.rpm
Name        : artifactory
Version     : 3.5.3
Release     : 30172
Architecture: noarch
Install Date: (not installed)
Group       : Development/Tools
Size        : 42286184
License     : LGPL
Signature   : (none)
Source RPM  : artifactory-3.5.3-30172.src.rpm
Build Date  : Thu 19 Mar 2015 04:47:04 PM UTC
Build Host  : artbuild2.jfrog.local
Relocations : (not relocatable)
Vendor      : JFrog Ltd.
URL         : http://www.jfrog.org
Summary     : Binary Repository Manager
Description :
The best binary repository manager around.
-rwxrwxr-x    1 root    root                     7891 Mar 19 16:47 /etc/init.d/artifactory
drwxr-xr-x    2 artifactartifact                    0 Mar 19 16:47 /etc/opt/jfrog/artifactory
-rwxrwx---    1 artifactartifact                 9855 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.config.xml
-rwxrwx---    1 artifactartifact                11172 Mar 19 16:47 /etc/opt/jfrog/artifactory/artifactory.system.properties
-rwxrwx---    1 artifactartifact                  457 Mar 19 16:47 /etc/opt/jfrog/artifactory/default
-rwxrwx---    1 artifactartifact                 6858 Mar 19 16:47 /etc/opt/jfrog/artifactory/logback.xml
-rwxrwx---    1 artifactartifact                 5470 Mar 19 16:47 /etc/opt/jfrog/artifactory/mimetypes.xml
drwxrwxr-x    2 root    root                        0 Mar 19 16:47 /opt/jfrog
drwxrwxr-x    2 root    root                        0 Mar 19 16:47 /opt/jfrog/artifactory/bin
-rwxrwxr-x    1 root    root                   103424 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory-service.exe
-rwxrwxr-x    1 root    root                     1366 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.bat
-rwxrwxr-x    1 root    root                      457 Mar 19 16:47 /opt/jfrog/artifactory/bin/artifactory.default
artifactory-3.5.3.rpm
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.