Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

A.3. Recherche et Vérification de paquets RPM

Avant d'utiliser des paquets RPM, vous devez savoir où les trouver et être à même de vérifier si vous pouvez leur faire confiance.

A.3.1. Recherche de paquets RPM

Bien qu'il existe de nombreux référentiels RPM sur Internet, pour des raisons de compatibilité et de sécurité, vous devriez envisager d'installer uniquement les paquets de RPM officiels fournis par Red Hat. Ce qui suit est une liste de sources de paquets RPM :
  • Official Red Hat Enterprise Linux installation media.
  • Official RPM repositories provided with the Yum package manager. See Chapitre 8, Yum for details on how to use the official Red Hat Enterprise Linux package repositories.
  • La page Red Hat Errata se trouve sur le Portail Client à l'adresse suivante https://rhn.redhat.com/rhn/errata/RelevantErrata.do.
  • Extra Packages for Enterprise Linux (EPEL) is a community effort to provide a repository with high-quality add-on packages for Red Hat Enterprise Linux. See http://fedoraproject.org/wiki/EPEL for details on EPEL RPM packages.
  • De façon non officielle, les référentiels de tierce partie non affiliés à Red Hat fournissent également des paquets RPM.

    Important

    Quand on examine les référentiels de tierce partie qui puissent être utilisés avec votre système Red Hat Enterprise Linux, observer attentivement le site web du référentiel en ce qui concerne la compatibilité de paquet avant d'ajouter le référentiel comme paquet source. D'autres référentiels de paquets peuvent offrir des versions différentes et incompatibles du même logiciel, y compris des paquets déjà inclus dans les référentiels Red Hat Enterprise Linux.

A.3.2. Vérification des signatures de paquets

Les paquets RPM peuvent être signés par GNU Privacy Guard (GPG), pour vous assurer que les paquets téléchargés sont dignes de confiance. GPG est un outil de communication sécurisé. Avec GPG, vous pouvez authentifier la validité des documents et encoder ou décoder des données.
Pour vérifier qu'un package n'est pas encore corrompu ou altéré, vérifier sa signature GPG en utilisant la commande rpmkeys avec l'option -K (ou --checksig) :
rpmkeys -K package.rpm
Notez que le gestionnaire de paquets Yum effectue la vérification automatique des signatures GPG lors des installations et des mises à niveau.
GPG est installé par défaut, accompagné d'un ensemble de clés de Red Hat qui servent à vérifier les paquets. Pour importer des clés supplémentaires pour une utilisation RPM, voir Section A.3.2.1, « Import de clés GPG ».

A.3.2.1. Import de clés GPG

Pour vérifier les paquets de Red Hat, une clé GPG de Red Hat doit être installée. Un jeu de clés de base est installé par défaut. Pour afficher une liste des clés installées, exécutez la commande suivante à l'invite du shell :
~]$ rpm -qa gpg-pubkey*
Pour afficher des détails sur une clé spécifique, utilisez rpm -qi suivie de la sortie de la commande précédente. Par exemple :
~]$ rpm -qi gpg-pubkey-fd431d51-4ae0493b
Utiliser la commande rpmkeys avec l'option --import pour installer une nouvelle clé à utiliser avec RPM. L'emplacement par défaut pour stocker les clés GPG RPM est le répertoire /etc/pki/rpm-gpg /. Pour importer de nouvelles clés, utiliser une commande semblable à celle-ci en tant qu'utilisateur root :
~]# rpmkeys --import /etc/pki/rpm-gpg/RPM-GPG-KEY-redhat-release
Voir l'article Product Signing (GPG) Keys sur le portail clients de Red Hat pour plus d'informations sur les pratiques de signature de paquets de Red Hat.