签署RPM是强制性的吗?不签署RPM会导致分发或上传到中央存储库方面的任何问题吗?
答案 0 :(得分:1)
签署包不是强制性的,但建议出于完整性验证的原因。如果您正在开发一个包含在大型现有存储库中的软件包(例如EPEL,RPM Fusion等),那么他们将在发布软件包时使用密钥对软件包进行签名。
答案 1 :(得分:0)
最近(几年)yum配置默认需要签署RPM。您当然可以使用--nogpgcheck选项中的Fedora forum选项覆盖默认值(禁用GPG检查)。因此,它不是技术上强制性的,但管理策略(例如Red Hat的客户)可能会禁止使用该方法。 Red Hat在documentation中为其提供了支持。
在实践中,您可以使用自己的gpg签名(详见Thomas Chung's blog)和使用rpm --addsign对任何包进行签名。百胜将接受这一点以及任何其他签名。
除了初始安装之外,在验证程序包时(使用rpm -V检查自安装后的更改),会对签名感兴趣。是否发现差异,如果rpm -qi显示意外(或缺失)签名,则表明可能会篡改包。
如果你单独为自己安装,这些问题可能不是很有趣。