[FZH] yum 更新时的是否进行了安全验证验证？

[Yuan Yijun]

GPG 是需要自己验证的吧？假设你装 Fedora 的时候，验证过 ISO 的 SHA-1 的 GPG
签名(https://fedoraproject.org/en/verify 写着，这一步的 gpg key 是通过 https
下载的)，那么之后安装软件包的时候，只要用 rpm -V fedora-release 验证一下预装的 key 是不是可信。如果你觉得预装的
key 没有问题，那么 yum 提示安装软件包、导入 key 的时候就不用担心劫持了。看这个链接，预装的 key 是必需的
https://bugzilla.redhat.com/show_bug.cgi?id=530598

2012/11/6 toknot xiao <chopins.xiao在gmail.com>:
> 最近更新系统发现HTTP下载会被运营商劫持，而且YUM下载的时候大量使用的是HTTP协议，因此也会被劫持，然后导致更新错误
> 虽然我知道安装新源的时候会要求导入一个GPG签名，不知道yum是否会对下载服务器进行验证，
> 以及是否对包进行安全校验，校验的方法是什么？
> --
> Fedora中文郵件列表：https://admin.fedoraproject.org/mailman/listinfo/chinese



-- 
bbbush ^_^