Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.5.2. Verificando Pacotes Assinados

Todos os pacotes do Red Hat Enterprise Linux são assinados com a chave GPG da Red Hat. O GPG significa GNU Privacy Guard, ou GnuPG, um pacote de software livre usado para garantir a autenticidade dos arquivos distribuídos. Por exemplo, uma chave privada (chave secreta) trava o pacote enquanto a chave pública destrava e verifica o pacote. Se a chave pública distribuída pelo Red Hat Enterprise Linux não corresponder com a chave privada durante a verificação do RPM, o pacote pode ter sido alterado e portanto não pode ser confiável.
O utilitário RPM dentro do Red Hat Enterprise Linux 6 automaticamente tenta verificar a assinatura GPG de um pacote RPM antes de instala-lo. Se a chave GPG da Red Hat não está instalada, instale-a a partir de uma locação estática e segura, como o CD-ROM ou DVD de instalação da Red Hat.
Assumindo que o disco é montado no /mnt/cdrom, use o seguinte comando para importa-lo ao keyring (um banco de dados de chaves confiáveis no sistema): 
rpm --import /mnt/cdrom/RPM-GPG-KEY
Para exibir uma lista de todas as chaves instaladas para verificação do RPM, execute o seguinte comando: 
rpm -qa gpg-pubkey*
O resultado será similar ao seguinte: 
gpg-pubkey-db42a60e-37ea5438
Para exibir detalhes sobre uma chave específica, use o comando rpm -qi seguido do resultado do comando anterior, como neste exemplo: 
rpm -qi gpg-pubkey-db42a60e-37ea5438
É extremamente importante verificar a assinatura dos arquivos RPM antes de instala-los para garantir que eles não foram alterados da fonte original dos pacotes. Para verificar todos os pacotes baixados de uma vez, use o seguinte comando: 
rpm -K /tmp/updates/*.rpm
Para cada pacote, se a chave GPG é verifica com sucesso, o comando retorna gpg OK. Se caso não, tenha certeza que está usando a chave pública Red Hat correta e também verificar a fonte do conteúdo. Pacotes que não passam verificações GPG não devem ser instalados, já que podem ter sido alterados por um terceiro.
Depois de verificar a chave GPG e baixar todos os pacotes associados com o relatório de errada, instale os pacotes como root no prompt do shell.