Saya tidak terlalu terbiasa menggunakan yum untuk menginstal paket. Dalam kehidupan sebelumnya saya menggunakan apt.
Saat ini, saya sedang melihat beberapa instruksi untuk dijalankan
# yum install http://example.com/package.rpm
yang tampaknya akan berlangganan repositori tertentu, dari mana paket lebih lanjut dapat diunduh. Apakah ini hal yang aman untuk dilakukan?
Sebagai perbandingan, saya tahu bahwa paket apt memiliki tanda tangan gpg yang berarti unduhan melalui http tidak menjadi masalah. Seperti dijelaskan di sini . Dan ketika mengunduh paket di luar repositori utama dengan apt, Anda dapat menambahkan kunci gpg secara manual untuk diterima, untuk memastikan bahwa setiap paket non-standar memiliki sumber tepercaya yang sama.
Jika saya menjalankan perintah di atas, apakah Anda akan meminta saya untuk menerima kunci gpg sebelum mulai menginstal sesuatu, atau bisakah itu menginstal apa saja?
Dalam hal ini relevan, /etc/yum.conf
file saya berisi gpgcheck=1
di dalam [main]
bagian ini.
yum install
Anda harus menggunakan nama paket, bukan URL." - Setuju, ini yang biasanya saya lakukan dengan apt. Tetapi mengingat URL, apa yang akan Anda lakukan? Mungkin ini sudah jelas, tetapi bisakah Anda secara manual menambahkan repohttp://example.com
dan kemudian melakukannyayum install package
?apt-transport-https
?apt
repositori sekarang memiliki tanggal validitas dalamRelease
file mereka , yang membatasi lamanya waktu serangan replay tetap valid. (Jika saya ingat dengan benar ini diterapkan sebagai hasil dari kertas yang terhubung ke dalam jawaban.) Tetapi menggunakan TLS adalah solusi yang lebih baik!Valid-Until
ditambahkan untuk mencegah serangan replay. Namun, tidak masuk akal untuk meminta pengguna repositori mengunduh metadata untuk repo baru dan memeriksanya secara manual untuk memastikan bahwa ada header. Jauh lebih mudah untuk hanya memberi tahu orang untuk selalu menggunakan TLS.