Acabo de instalar un CentOS nuevo el viernes pasado, así que tengo una máquina decente para probar esto. Y sí, hay una cadena de confianza más o menos consistente.
libsodium
está en los EPEL . Es parte del repositorio de REMI, pero REMI es uno de los repositorios que está casi completamente incluido en EPEL. Y, si ya está utilizando un repositorio de RPM fuera de los repositorios base / extras / updates que vienen con CentOS de forma predeterminada, probablemente debería usar EPEL.
EPEL es mantenido por el proyecto Fedora y por lo tanto es parte de RedHat de alguna manera (el proyecto Fedora es parte de RedHat). Esto también significa que RedHat EL incluye un paquete RPM firmado (llamado epel-release
, por lo que yum install epel-release
lo comprueba) que (entre otros cambios) instalará la clave PKI en /etc/pki/RPM-GPG-KEY-EPEL-7
. Y el paquete libsodium
en el repositorio de EPEL se canta con esa clave.
Advertencia: los paquetes EPEL se verifican de la mejor manera posible. Y, dado que estos paquetes evolucionan mucho más rápido que los repositorios de base / extras / updates, pueden presentar un mayor riesgo. En otras palabras, EPEL tiene una mejor cadena de confianza que tomar paquetes directamente desde REMI, sin embargo, si eres paranoico, no debes usar repositorios adicionales en absoluto.