No estoy muy familiarizado con el uso de yum para instalar paquetes. En una vida anterior solía apt.
Actualmente, estoy viendo algunas instrucciones para ejecutar
# yum install http://example.com/package.rpm
que aparentemente se suscribirá a un repositorio particular, desde el cual se pueden descargar más paquetes. ¿Es esto algo seguro?
En comparación, sé que los paquetes apt tienen firmas gpg, lo que significa que las descargas a través de http no son un problema. Como se describe aquí . Y al descargar paquetes fuera de los repositorios principales con apt, puede agregar manualmente una clave gpg para que apt acepte, para asegurarse de que cualquier paquete no estándar tenga la misma fuente confiable.
Si ejecuto el comando anterior, ¿me pedirá que acepte una clave gpg antes de que comience a instalar cosas, o podría instalar algo?
En caso de que sea relevante, mi /etc/yum.conf
archivo contiene gpgcheck=1
dentro de la [main]
sección.
yum install
, debe usar el nombre del paquete, no la URL". - De acuerdo, esto es lo que normalmente haría con apt. Pero dada la URL, ¿qué harías? Quizás esto sea obvio, pero ¿puede agregar manualmente el repositoriohttp://example.com
y luego haceryum install package
?apt-transport-https
?apt
repositorios ahora tienen fechas de validez en susRelease
archivos, lo que limita el tiempo que los ataques de repetición siguen siendo válidos. (Si no recuerdo mal, esto se implementó como resultado del documento vinculado en la respuesta). ¡Pero usar TLS es una mejor solución!Valid-Until
se agregó para evitar ataques de repetición. sin embargo, no es razonable pedir a los usuarios del repositorio que descarguen los metadatos para un nuevo repositorio y lo inspeccionen manualmente para asegurarse de que el encabezado esté presente. Es mucho más fácil decirle a la gente que siempre use TLS.