Почему rpmfusion рекомендует выключатель nogpgcheck?
Вы используете встроенный Linux, поэтому его функциональность несколько ограничена . Однако похоже, что у вас есть Sys V init, поэтому мы можем эмулировать для вас rc.local.
Создайте файл /etc/rc.local с необходимыми инструкциями и запустите эту команду:
#ln -s /etc/rc.local /etc/rc5.d/S99rclocal
или, если у вас есть sudo:
$sudo ln -s /etc/rc.local /etc/rc5.d/S99rclocal
Это шаг к решению первоначальной проблемы доверия к курице и яйцу со стороны системы упаковки.
Система упаковки(yum/rpm)не доверяет новому репозиторию, поскольку, будучи новым, он изначально неизвестен. Таким образом, первым шагом будет указание системе (криптографически )доверять этому новому хранилищу. Это делается путем подписания пакетов (или в разных системах выпусков пакетов ).
Некоторые методы предоставляют ключ gpg на отдельной веб-странице или сервере ключей для добавления к доверию системы (, например,:rpm --import(действительноrpmkeys --import)или эквивалент для apt/ dpkg:apt-key add), а затем настраивают репозиторий. с правильным файлом, который включает в себя в основном URL-адрес для загрузки и некоторые настройки (, такие как... gpgcheck=1параметр ).
Другой метод заключается в том, чтобы поместить этот ключ непосредственно в пакет и позволить пакету добавить ключ и настройки репозитория :вот что делается здесь, пакет rpmfusion-free-release-7.noarch.rpmсодержит только несколько файлов:
# rpm -qlp rpmfusion-free-release-7.noarch.rpm
warning: rpmfusion-free-release-7.noarch.rpm: Header V4 RSA/SHA1 Signature, key ID f5cf6c1e: NOKEY
/etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-el-7
/etc/yum.repos.d/rpmfusion-free-updates-testing.repo
/etc/yum.repos.d/rpmfusion-free-updates.repo
Эти файлы являются ключом и конфигурациями новых репозиториев, и они действительно включают gpgcheck=1. Обратите внимание, что до установки система не доверяет пакету (, поэтому предупреждение выше сNOKEY). После установки ключ становится доверенным, и каждое дальнейшее действие будет проверять подписи пакетов с помощью этого добавленного ключа.
Так как же этому можно доверять? По-прежнему существует доверие, обеспечиваемое использованием https://в https://download1.rpmfusion.org/, когда он был загружен :, он должен гарантировать, что сайт загрузки, принадлежащий rpmfusion, контролирует этот пакет, и его можно безопасно загрузить без вмешательства.
Это не совсем то же самое доверие, потому что доверяют только сайту, а не пакету. Поскольку вы все равно загружаете программное обеспечение с rpmfusion, это означает, что вы достаточно доверяете им, чтобы загружать и устанавливать пакеты с них.Этот пакет никогда не следует загружать в первый раз вне *.rpmfusion.orgдля первоначального добавления репозитория (, то есть при установке с помощью --nogpgcheck), иначе вам теперь придется доверять зеркалу, чтобы фактически предоставить тот же пакет, а не другой с тем же именем, например, с дополнительными ключами или хуже.
В любом случае, при использовании первого метода вам все равно приходилось читать инструкции о том, как добавить ключ и скачать пакет в любом случае, поэтому изначально вам все равно приходилось доверять этим инструкциям. Это то, что я называю курицей и яйцом :, вы должны где-то начать доверять.
Как только возникло это первоначальное доверие, обо всем остальном «заботится» надежно. Даже если необходимо предоставить новый ключ, это будет сделано с помощью обновления rpmfusion-free-releaseс (замещающим ключом (с ))внутри, и он останется безопасным, даже если будет загружен из зеркало и/или без https://. На самом деле это относится к этому репозиторию :, он использует зеркала и, возможно, обычный http. Вам больше никогда не понадобится --nogpgcheck.