我正在创建一个本地Artifactory实例上的本地CentOS镜像,我构建了一个Python3脚本来检查远程和本地存储库之间的差异,并相应地更新本地存储库。
作为一项要求,我需要添加一个步骤,在将下载的rpm包添加到本地镜像之前检查它们的有效性。
虽然我可以通过调用" rpm -K"来做到这一点。 (在导入CentOS GPG密钥之后),我想知道是否有更好的方法可以实现这一点,也许不依赖于外部软件包。
答案 0 :(得分:1)
这是一个简短的shell脚本,用于提取"明文" (来自* .rpm文件的区域)。这是针对标头+有效负载签名,仅标头签名明文类似,只是标题blob)。
您将需要签名(您可以使用rpm-python绑定,请参阅下面的注释),您将需要python绑定到gpg以验证包签名。
请注意,验证下载且可能被篡改的软件包需要解析才能找到明文并检索签名已经是一项棘手的事情:在验证签名之前,您可能会被利用。
============================== / usr / lib / rpm / tgpg
#!/bin/sh
for pkg in $*
do
if [ "$pkg" = "" -o ! -e "$pkg" ]; then
echo "no package supplied" 1>&2
exit 1
fi
plaintext=$(mktemp /tmp/tgpg-$$.XXXXXX)
detached=$(mktemp /tmp/tgpg-$$.XXXXXX)
# --- Extract detached signature
rpm -qp -vv --qf '%{siggpg:armor}' $pkg > $detached
# --- Figger the offset of header+payload in the package
leadsize=96
o=$(expr $leadsize + 8)
set $(od -j $o -N 8 -t u1 $pkg)
il=$(expr 256 \* \( 256 \* \( 256 \* $2 + $3 \) + $4 \) + $5)
dl=$(expr 256 \* \( 256 \* \( 256 \* $6 + $7 \) + $8 \) + $9)
sigsize=$(expr 8 + 16 \* $il + $dl)
o=$(expr $o + $sigsize + \( 8 - \( $sigsize \% 8 \) \) \% 8)
# --- Extract header+payload
dd if=$pkg ibs=$o skip=1 2>/dev/null > $plaintext
# --- Verify DSA signature using gpg
gpg --batch -vv --debug 0xfc02 --verify $detached $plaintext
# --- Clean up
rm -f $detached $plaintext
done