¿Hasta qué punto están certificados los repositorios de yum suplementarios por CentoOS?

2

Estoy creando algo que usa libsodium y se ejecutará en Ubuntu y CentOS 7.

Ubunutu tiene el paquete libsodium-dev , pero CentOS no parece incluirlo por defecto.

Veo instrucciones para usar el repositorio REMI y luego yum --enablerepo=remi install foo

Tal como lo entiendo, los contenidos del repositorio están firmados criptográficamente con claves de verificación de raíz distribuidas con el SO. ¿Los repositorios complementarios utilizados de esta manera están certificados por CentOS como confiables? O al descargar e instalar el rpm del repositorio, ¿estoy afirmando al sistema que yo confío en este nuevo repositorio?

    
pregunta spraff 28.11.2016 - 11:26
fuente

2 respuestas

2

Acabo de instalar un CentOS nuevo el viernes pasado, así que tengo una máquina decente para probar esto. Y sí, hay una cadena de confianza más o menos consistente.

libsodium está en los EPEL . Es parte del repositorio de REMI, pero REMI es uno de los repositorios que está casi completamente incluido en EPEL. Y, si ya está utilizando un repositorio de RPM fuera de los repositorios base / extras / updates que vienen con CentOS de forma predeterminada, probablemente debería usar EPEL.

EPEL es mantenido por el proyecto Fedora y por lo tanto es parte de RedHat de alguna manera (el proyecto Fedora es parte de RedHat). Esto también significa que RedHat EL incluye un paquete RPM firmado (llamado epel-release , por lo que yum install epel-release lo comprueba) que (entre otros cambios) instalará la clave PKI en /etc/pki/RPM-GPG-KEY-EPEL-7 . Y el paquete libsodium en el repositorio de EPEL se canta con esa clave.

Advertencia: los paquetes EPEL se verifican de la mejor manera posible. Y, dado que estos paquetes evolucionan mucho más rápido que los repositorios de base / extras / updates, pueden presentar un mayor riesgo. En otras palabras, EPEL tiene una mejor cadena de confianza que tomar paquetes directamente desde REMI, sin embargo, si eres paranoico, no debes usar repositorios adicionales en absoluto.

    
respondido por el grochmal 29.11.2016 - 03:31
fuente
2

CentOS es un sistema operativo. No puede certificar nada.

Si está preguntando si los paquetes se verifican criptográficamente con una clave que forma parte de CentOS: sí. La clave pública para este repositorio es parte de una instalación actual de CentOS

Si está preguntando si alguien le garantiza que los paquetes en el repositorio cumplen con los requisitos que pueda tener: no, nadie lo hace

Pero estás usando CentOS. Nadie te garantiza nada para tu sistema operativo de todos modos. Si necesita seguridad jurídica, debe pagar un contrato de soporte. Lo que se garantiza exactamente depende de su contrato.

    
respondido por el Josef 28.11.2016 - 15:22
fuente

Lea otras preguntas en las etiquetas