¿Cómo puedo saber con qué clave GPG se firmó un paquete RPM?

Pregunta:

La firma criptográfica de un RPM se puede verificar con el comando rpm -K . Esto devuelve una cadena que contiene gpg (o pgp ) y termina en OK si la firma está en la base de datos de RPM y es válida.

Si el paquete no está firmado pero las sumas de comprobación son válidas, seguirá estando OK , pero sin gpg .

Si el paquete está firmado pero la clave falta en la base de datos de RPM, obtiene (GPG) (letras mayúsculas) y NOT OKAY , seguido de (MISSING KEYS: GPG#deadbeef) .

Eso es útil si quiero averiguar qué clave debo encontrar para instalar para que la instalación de mi paquete funcione.

Pero, ¿qué sucede si quiero verificar cuál de varias claves en mi anillo de claves RPM se usó para firmar un paquete determinado?

Respuesta:

Hay un campo de firma en la lista a través de rpm -qpi package.rpm , por ejemplo:

[vagrant@vm-one ~]$ rpm -qpi puppet-3.7.4-1.el6.noarch.rpm
Name        : puppet
Version     : 3.7.4
Release     : 1.el6
Architecture: noarch
Install Date: (not installed)
Group       : System Environment/Base
Size        : 6532300
License     : ASL 2.0
Signature   : RSA/SHA512, Tue 27 Jan 2015 11:17:18 PM UTC, Key ID 1054b7a24bd6ec30
Source RPM  : puppet-3.7.4-1.el6.src.rpm
Build Date  : Mon 26 Jan 2015 11:48:15 PM UTC
Build Host  : tahoe.delivery.puppetlabs.net
Relocations : (not relocatable)
Vendor      : Puppet Labs
URL         : http://puppetlabs.com
Summary     : A network tool for managing many disparate systems
Description :
Puppet lets you centrally manage every important aspect of your system using a
cross-platform specification language that manages all the separate elements
normally aggregated in different files, like users, cron jobs, and hosts,
along with obviously discrete elements like packages, services, and files.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top

web tasarım