Updating the GPG Key for NGINX Products

Sergey Budnevitch sb на nginx.com
Вт Авг 9 13:11:37 UTC 2016


> On 08 Aug 2016, at 23:29, Gena Makhomed <gmm at csdoc.com> wrote:
> 
> Здравствуйте!
> 
> https://www.nginx.com/blog/updating-gpg-key-nginx-products/
> Updating the GPG Key for NGINX Products
> 
> Извините за возможно глупый вопрос, зачем вы это делаете таким способом?
> 
> Например, для CentOS 7 вполне работает вариант
> 
> # rpm --import https://nginx.org/keys/nginx_signing.key
> 
> вместо двух строк:
> 
> # curl -O https://nginx.org/keys/nginx_signing.key
> # rpm --import ./nginx_signing.key

Ну потому что советовать людям качать что-то из интернета и ставить безо
всякой проверки от рута - это глупость. Если хотя бы один из ста просто
проверит то, что он скачал, не говоря уж о проверке chain of trust,
перед установкой, то такое разделение на две команды оправдано.

Проблема со всеми этими подписями в том, что большинство не понимает как это работает
и зачем это надо, объяснить как это устроено в самой инструкции - это лишнее, инструкция
будет менее понятной. Поэтому инструкция написана максимально просто, а объяснение
вынесено в конец статьи. Кстати на сайте сделано также: http://nginx.org/en/linux_packages.html#signatures


> 
> Я уж не говорю о том, что в CentOS принято ставить/удалять ключи
> вместе с пакетом репозитория, так как это сделано в EPEL или remi.
> И тогда не надо будет вручную править и менять GPG ключи в системе.
> 
> https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
> 
> http://rpms.remirepo.net/enterprise/remi-release-7.rpm
> 
> Файл ключа задается прямо в конфиге репозитория через gpgkey=

Вы ставите пакет, непонятно откуда загруженный и yum при следующем
запуске установит ключ - это замечательно, но опять же ни проверки
ключа, ни проверки пакета при этом не происходит.
С другой стороны разница установки ключа и установка пакета минимально,
но с пакетом у вас когда-то потом возникнет вопрос при установке об
импорте ключа - зачем такая головная боль?

> 
> Может быть сделаете установку ключа по-нормальному для CentOS 7 ?

Не вижу чем  предложений вариант хуже.

P.S. Либо у меня deja vu, либо подобный разговор уже бы лет пять назад.



Подробная информация о списке рассылки nginx-ru