Updating the GPG Key for NGINX Products
Sergey Budnevitch
sb на nginx.com
Вт Авг 9 13:11:37 UTC 2016
> On 08 Aug 2016, at 23:29, Gena Makhomed <gmm at csdoc.com> wrote:
>
> Здравствуйте!
>
> https://www.nginx.com/blog/updating-gpg-key-nginx-products/
> Updating the GPG Key for NGINX Products
>
> Извините за возможно глупый вопрос, зачем вы это делаете таким способом?
>
> Например, для CentOS 7 вполне работает вариант
>
> # rpm --import https://nginx.org/keys/nginx_signing.key
>
> вместо двух строк:
>
> # curl -O https://nginx.org/keys/nginx_signing.key
> # rpm --import ./nginx_signing.key
Ну потому что советовать людям качать что-то из интернета и ставить безо
всякой проверки от рута - это глупость. Если хотя бы один из ста просто
проверит то, что он скачал, не говоря уж о проверке chain of trust,
перед установкой, то такое разделение на две команды оправдано.
Проблема со всеми этими подписями в том, что большинство не понимает как это работает
и зачем это надо, объяснить как это устроено в самой инструкции - это лишнее, инструкция
будет менее понятной. Поэтому инструкция написана максимально просто, а объяснение
вынесено в конец статьи. Кстати на сайте сделано также: http://nginx.org/en/linux_packages.html#signatures
>
> Я уж не говорю о том, что в CentOS принято ставить/удалять ключи
> вместе с пакетом репозитория, так как это сделано в EPEL или remi.
> И тогда не надо будет вручную править и менять GPG ключи в системе.
>
> https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
>
> http://rpms.remirepo.net/enterprise/remi-release-7.rpm
>
> Файл ключа задается прямо в конфиге репозитория через gpgkey=
Вы ставите пакет, непонятно откуда загруженный и yum при следующем
запуске установит ключ - это замечательно, но опять же ни проверки
ключа, ни проверки пакета при этом не происходит.
С другой стороны разница установки ключа и установка пакета минимально,
но с пакетом у вас когда-то потом возникнет вопрос при установке об
импорте ключа - зачем такая головная боль?
>
> Может быть сделаете установку ключа по-нормальному для CentOS 7 ?
Не вижу чем предложений вариант хуже.
P.S. Либо у меня deja vu, либо подобный разговор уже бы лет пять назад.
Подробная информация о списке рассылки nginx-ru