Я создал репозиторий yum, в который загрузил неподписанный файл rpm.
Я проиндексировал и подписал репо, создав каталог реподанных со следующими файлами:
filelists.xml.gz,
other.xml.gz,
primary.xml.gz,
repomd.xml,
repomd.xml.asc,
repomd.xml.key (открытый ключ, которым я подписал repomd.xml.asc)
на стороне клиента я создал новый файл конфигурации репо по адресу: /etc/yum.repos.d, и установил gpgcheck = 1, чтобы это была проверка подписи.
При использовании «yum install» кажется, что repomd.xml.asc и repomd.xml.key игнорируются, и только подписание файла rpm проходит проверку подписи.
У меня создалось впечатление, что подписание репо и размещение repomd.xml.asc и repomd.xml.key придут вместо того, чтобы подписывать каждый файл rpm отдельно.
* с использованием centos 6.6 на Oracle vm *
Заранее спасибо.
чтобы yum проверял подпись репозитория, вам нужно добавить параметр в репо в /etc/yum.repos.d:
repo_gpgcheck=1
если вы не подписывали свои rpms индивидуально gpgcheck=0 в этом файле.
Ответы ниже. 1: gpgcheck контролирует проверку подписей пакетов после загрузки, а не репозиториев. 2: подпись репозитория дает возможность проверить отсутствие подделки метаданных репозитория. это преимущество, хотя и незначительное при загрузке с полного доменного имени. 3) вы можете отказаться от всех пакетов в репозитории с помощью одной команды rpm.