如何自动接受epel gpg键

Question

当我第一次从epel安装一个软件包时，如果我想要导入GPG密钥，就会提示我。

注意在安装redis时，有2‘这是ok’提示吗？

[root@us-devops-build02 yum.repos.d]# yum install redis
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
.. truncated for readability

Total download size: 213 k
Installed size: 668 k
Is this ok [y/N]: y
Downloading Packages:
redis-2.4.10-1.el6.x86_64.rpm                                                                                                                                                                                                                                                                          | 213 kB     00:00     
warning: rpmts_HdrFromFdno: Header V3 RSA/SHA256 Signature, key ID 0608b895: NOKEY
Retrieving key from http://download.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-6
Importing GPG key 0x0608B895:
 Userid: "EPEL (6) <epel@fedoraproject.org>"
 From  : http://download.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-6
Is this ok [y/N]: y

这将导致新配置的机器上的傀儡失败，除非我先进入机器并手动接受此密钥的安装。

1. 为什么epel需要在第一次安装软件包时下载密钥？
2. 我如何能自动安装这个键在我的图像，这样木偶不会失败？

Answer 1

yum之所以要密钥，是因为它没有出现在/etc/pki/rpm-gpg中。

ls /etc/pki/rpm-gpg/ | column
RPM-GPG-KEY-CentOS-6        RPM-GPG-KEY-CentOS-Security-6    RPM-GPG-KEY-CentOS-Debug-6
RPM-GPG-KEY-CentOS-Testing-6    RPM-GPG-KEY-puppetlabs

您可以通过以下四种方式之一导入密钥：

1. 使用rpm --import http://download.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-6 (按照可持续土地管理的建议)
2. 安装一个包，然后等待提示符(就像我正在做的那样)
3. 使用epel提供的RPM包，它同时安装回购和密钥。sudo yum -y install http://mirror.pnl.gov/epel/6/i386/epel-release-6-8.noarch.rpm"
4. 手动将密钥复制到正确的目录。

Answer 2

这里有一些关于包/回购签名的事情：

• 密钥(对于默认的repos)存储在"/etc/pki/rpm-gpg“中。但是，这只是一个可供参考的存储位置，并不使它们受到包管理器的信任(至少在RHEL/CentOS 8中是如此)。
• Repo配置(在“/etc/yum.2R.d”中)定义了用于对回购和包进行签名的GPG公钥的URL。对于默认的回复，该密钥URL通常有一个file://方案，引用"/etc/pki/rpm-gpg“中的密钥。在您的例子中，EPEL配置引用了一个http:// URL。当然，这意味着您最初通过不安全的通道获得密钥，从而有效地创建了豆腐情况。
• 对于包安装，必须将密钥导入RPM系统的密钥存储区。你看到的第二个提示就是这个。rpm --import允许您在安装软件包之前手动添加密钥。有关管理密钥存储的其他信息，请参见如何在安装Linux包之前验证它们。
• 除了包的默认签名外，还可以通过在回购配置中设置论存储库元数据来启用签名检查repo_gpgcheck=1。为此，必须将密钥导入位于"/var/lib/yum/*/gpgdir“(旧式)或"/var/cache/dnf/*/pubring”(RHEL/CentOS 8)的另一个密钥存储区。当这些密钥尚未被添加到这些存储区时，您也可能会被要求导入它们--并且该提示看起来就像RPM密钥存储的提示。

Answer 3

木偶？将证书放到傀儡代码包中。这样你就只能依靠主木偶机的安全性了。

让代码包安装证书。