第18章 システムとサブスクリプション管理

yum に新しい payload_gpgcheck オプションを追加

今回の更新では、新設定オプション payload_gpgcheckyum ユーティリティーに追加されました。これはパッケージのペイロードセクションでの GNU Privacy Guard (GPG) 署名確認を有効にするので、パッケージインストール時のセキュリティーと整合性を強化します。これまでは gpgcheck オプションを有効にすると、yum はヘッダーでのGPG 署名確認のみを実行していました。このため、ペイロードデータが改ざんされていたり破損していたりすると、RPM 展開エラーが発生し、パッケージは一部しかインストールされませんでした。このため、オペレーティングシステムが一貫性のない脆弱な状態に置かれる場合がありました。
新しい payload_gpgcheck オプションを gpgcheck または localpkg_gpgcheck オプションと使用すると、この問題を回避することができます。この結果、payload_gpgcheck が有効であれば、yum が GPG 署名確認がペイロードで実行され、確認できない場合は処理が中止されます。payload_gpgcheck の使用は、ダウンロードされたパッケージで rpm -K を手動で実行することと同じになります。(BZ#1343690)