Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

1.5.2. Cómo verificar paquetes firmados

Todos los paquetes de Red Hat Enterprise Linux son firmados con la llave GPG de Red Hat. GPG viene de GNU Privacy Guard, o GnuPG, un paquete de software gratuito utilizado para asegurar la autenticidad de los archivos distribuidos. Por ejemplo, una clave privada (clave secreta) bloquea el paquete mientras que la clave pública desbloquea y verifica el paquete. Si la clave pública distribuida por Red Hat Enterprise Linux no coincide con la clave privada durante la verificación de RPM, el paquete puede haber sido alterado y por lo tanto no es confiable.
La herramienta de RPM dentro de Red Hat Enterprise Linux 6 automáticamente trata de verificar la firma de GPG de un paquete RPM antes de instalarlo. Si la llave GPG de Red Hat no está instalada, instálela desde un sitio seguro, estático, tal como una instalación un CD o DVD de instalación de Red Hat.
Suponiendo que el disco está montado en /mnt/cdrom, use el siguiente comando para importarlo en el archivo de claves archivo de llaves (una base de datos de llaves confiables en el sistema):
rpm --import /mnt/cdrom/RPM-GPG-KEY
Para desplegar una lista de todas las llaves instaladas para verificación de RPM, ejecute el siguiente comando:
rpm -qa gpg-pubkey*
La salida será similar a la siguiente:
gpg-pubkey-db42a60e-37ea5438
Para desplegar información sobre la llave específica, use el comando rpm -qi seguido por la salida del comando anterior, como el siguiente ejemplo:
rpm -qi gpg-pubkey-db42a60e-37ea5438
Es muy importante verificar la firma de los archivos RPM antes de instalarlos para garantizar que no han sido alterados de su fuente original de paquetes. Para verificar todos los paquetes descargados, emita el siguiente comando:
rpm -K /tmp/updates/*.rpm
Por cada paquete, si la llave de GPG es correcta, el comando retorna gpg OK. Si no lo es, verifique si está utilizando la llave pública apropiada de Red Hat y verifique también el origen del contenido. Los paquetes que no pasan las verificaciones de GPG no se deben instalar, ya que pueden haber sido alterados por un tercero.
Tras verificar la llave GPG y descargar todos los paquetes asociados al reporte de erratas, instale los paquetes como root en el indicador de shell.