utok (HOWTO-verify-my-rpm-package-with-digital-sign)

Milan Kerslager milan.kerslager na spsselib.hiedu.cz
Úterý Listopad 21 01:00:38 CET 2000 

On Mon, 20 Nov 2000, Pavel Janík ml. wrote:

>    > Pokud to mate RedHat (nebo jinej Linux instalovanej nejakym package
>    > managerem), tak se o pritomnosti inetd muzete presvedcit dotazem
>    > # rpm -qi netkit-base
>
> nemůžete, nevíte, co je to rpm. Je to originál? Nebo je to hacknutá
> binárka, která se bude chovat přesně tak, aby Vás uchlácholila, že je vše v
> pořádku?

Do ~/.rpmmacroc napiste (cesta smeruje do vaseho domaciho adresare):

%_gpg_path /home/huzva/.gnupg

Dale vezmete CD-ROM s RH 6.2 CZ a provedte (pokud nebude existovat
~/.gnupg, tak spustte prikaz 2x, soubor RPM-GPG-KEY obsahuje muj verejny
klic):

gpg --import /mnt/cdrom/RPM-GPG-KEY

A pak zkontrolujte sve RPM, ktere chcete strcit do systemu:

rpm -K util-linux-2.10f-7.i386.rpm

Toto overene RPM pak muzete nainstalovat (--force proto, ze stejnojmenny
balicek v systemu uz je, takze se to preplacne):

rpm -Uvh --force util-linux-2.10f-7.i386.rpm

A pro jistotu zkontrolovat, zda soubory na disku maji stejnou MD5SUM:

rpm -V util-linux

Pokud jste pouzil updaty primo od RH, stahnete si jejich verejny klic a
ten si stejnym zpusobem naimportujte do GPG. Klice maji ruzne ID, takze
mohou byt v systemu zaroven.

Na overenem systemu pouzijte tripwire, podepiste si svym klicem
vygenerovanou databazi a kontrolujte pravidelne, zda se v systemu neco
nezmenilo.

Pokud verejnym klicum neverite, zkontrolujte si jejich fingerprint.
Nektere (ne muj) klice jsou podepsane nekym jinym, takze pokud duverujete
verejnemu klici toho jineho, tak podepsany klic je "bezpecny". Osobne se
domnivam, ze podobnou vahu, jako ma podepsany klic, ma vaha klice, ktery
je distribuovan na CD-ROM nebo tiskem. Vice na http://www.gnupg.org.

Abych mohl signovat vyrobene baliky, mam v ~/.rpmmacroc toto (%_gpg_name
je nazev klice, kterym podepisuji a ktery jsem si vygeneroval pomoci gpg):

%_signature gpg
%_gpg_path /root/.gnupg
%_gpg_name Milan Kerslager <milan.kerslager na spsselib.hiedu.cz>

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na spsselib.hiedu.cz
                        WWW:    http://www.spsselib.hiedu.cz/~kerslage/

Další informace o konferenci Linux