Безопасность
Использование сторонних репозиториев/пакетов
Так как сторонние репозитории и пакеты загружаются из Интернета, то при их скачивании и установке необходимо быть уверенными в безопасности устанавливаемых приложений. Важно быть уверенным, что никакая третья сторона не изменяла содержимое пакета при передаче его от автора к пользователю. Подписание пакета является способом защиты пакета для конечного пользователя. Поэтому репозитории и все пакеты в них подписываются специальным цифровым ключом.
Приватный ключ есть только у разработчиков. Публичный ключ может располагаться на сайте репозитория, либо распространяться вместе с операционной системой.
Разработчики подписывают пакеты приватным ключом, а с помощью публичного ключа конечный пользователь может убедиться, что это тот самый пакет и никакая третья сторона не изменяла его.
Ниже мы рассмотрим, как проверить цифровую подпись пакета.
Цифровые подписи пакетов и их проверка
Для проверки цифровой подписи пакета выполните следующую команду (находясь в папке с пакетом):
$ rpm --checksig имя_пакета.rpm
Пример: проверим цифровую подпись пакета VirtualBox-7.1-7.1.10_169112_el10-1.x86_64.rpm:
$ rpm --checksig VirtualBox-7.1-7.1.10_169112_el10-1.x86_64.rpm
VirtualBox-7.1-7.1.10_169112_el10-1.x86_64.rpm: rsa sha1 (md5) pgp md5 ОК
Вы можете также использовать опцию -v для вывода более полной информации о проверке.