21、软件管理：从仓库安全到软件操作的全面指南

软件管理：从仓库安全到软件操作的全面指南

1. 仓库安全理解

使用仓库可以方便地从互联网透明安装软件包，但这也带来了安全风险。安装 RPM 包时，通常以 root 权限执行，如果 RPM 包中的脚本代码被执行，也会以 root 权限运行。因此，必须确保所安装的软件包是可信任的。

为确保仓库中软件包的安全，通常使用 GPG 密钥对软件包进行签名。这样可以检查软件包自仓库所有者提供后是否被更改。用于签署软件包的 GPG 密钥通常也会通过仓库提供，仓库用户可以下载该密钥并本地存储，以便每次从仓库下载软件包时自动进行签名检查。

如果仓库安全受到威胁，入侵者成功入侵仓库服务器并放置了伪造的软件包，GPG 密钥签名将不匹配，dnf 命令在安装新软件包时会发出警告。所以，使用互联网仓库时强烈建议使用 GPG 密钥。

当首次接触使用 GPG 软件包签名的仓库时，dnf 命令会提示下载用于软件包签名的密钥，这是一个透明的过程，无需进一步操作。默认情况下，用于软件包签名的 GPG 密钥会安装到 /etc/pki/rpm-gpg 目录。

示例：首次接触仓库时下载 GPG 密钥

[root@localhost ~]# dnf install nmap
Updating Subscription Management repositories.
Red Hat Enterprise Linux 9 for x86_64 - AppStream (RPMs)