Pacotes assinados com chaves ativadas por GPG

(A partir do UIM 20.3.3) Esta release do UIM fornece os pacotes .rpm e .deb, que são assinados com as chaves ativadas pelo GNU Privacy Guard (GPG). Com esse mecanismo de segurança aprimorado, a integridade dos pacotes é mantida. Isso o ajudará a verificar se os pacotes que você está usando para a instalação são os mesmos baixados do site do Suporte. Dessa forma, você estará seguro de que nenhuma modificação foi feita nos pacotes depois que eles foram assinados, proporcionando, assim, a qualidade e a garantia de segurança do pacote enviado.
A ilustração a seguir demonstra o processo:
Os tópicos a seguir fornecem as informações detalhadas:
3
2
Pacotes RPM e DEB suportados
Os seguintes pacotes foram assinados com as chaves ativadas pelo GPG:
  • nimsoft-robot.i386.rpm
  • nimsoft-robot.x86_64.rpm
  • nimsoft-robot+debian_amd64.deb
  • nimsoft-robot+ubuntu_amd64.deb
Observe que as versões anteriores desses pacotes não eram assinadas com as chaves ativadas pelo GPG.
Verifique os pré-requisitos
Certifique-se de que seu ambiente do atenda aos seguintes requisitos:
  • GPG versão 2.2.4 (ou posterior)
  • RPM versão 4.0 (ou posterior)
  • dpkg-sig (para os binários do Debian/Ubuntu)
Verificar a assinatura de pacotes RPM e DEB assinados
Para verificar a assinatura dos pacotes RPM e DEB assinados, siga o procedimento apropriado descrito nesta seção:
Verificar a assinatura de pacotes RPM assinados
Antes de instalar os pacotes, é possível verificar sua assinatura para se certificar de que eles não tenham sido violados. Para fazer isso, é necessário importar a chave pública do GPG para o conjunto de chaves do GPG e para o banco de dados RPM e, em seguida, verificar as assinaturas. 
Siga estas etapas:
  1. Verifique se os pacotes .rpm assinados e a chave pública do GPG estão disponíveis no seu computador.
    Faça download do arquivo de chave pública do GPG no site UIM Hotfix Index (em inglês).
  2. Use o comando a seguir para importar a chave pública do GPG para o conjunto de chaves do GPG:
    [[email protected] ~]# gpg --import GPG-KEY-UIM-001
    Ao executar o comando, você obterá a resposta a seguir. Observe que
    imported: 1
    na saída do comando significa que o arquivo foi importado com êxito:
    gpg: key 8B4FDD0849C0B447: public key "uimbuild (UIM GPG signing key) <[email protected]>" import gpg: Total number processed: 1 gpg: imported: 1
  3. Use o comando a seguir para importar a chave pública do GPG para o banco de dados RPM:
    [[email protected] ~]# rpm --import GPG-KEY-UIM-001
    Esse comando não exibe nenhuma saída na tela. Portanto, é possível usar o seguinte comando para verificar se o arquivo de chave pública foi importado:
    [[email protected] ~]# rpm -q gpg-pubkey --qf '%{name}-%{version}-%{release} --> %{summary}\n'
    Quando você executar esse comando, a saída a seguir será gerada. Observe que o segmento
    uimbuild (UIM GPG Signing) <[email protected]>
    na saída mostra que a chave pública foi importada:
    gpg-pubkey-fd431d51-4ae0493b --> gpg(Red Hat, Inc. (release key 2) <[email protected]>) gpg-pubkey-2fa658e0-45700c69 --> gpg(Red Hat, Inc. (auxiliary key) <[email protected]>) gpg-pubkey-b74246ce-58d281c9 --> gpg(uimbuild (UIM GPG Signing) <[email protected]>)
  4. Use o comando a seguir para verificar a assinatura:
    [[email protected] ~]# rpm -K nimsoft-robot.x86_64.rpm
    Ao executar o comando, você obterá a resposta a seguir. Essa resposta mostra que a assinatura foi verificada com êxito:
    nimsoft-robot.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
Você verificou com êxito os pacotes RPM.
Instalando pacotes RPM após a verificação
Dependendo da configuração, você poderá usar o comando apropriado para instalar os pacotes depois que eles forem verificados:
  • Se você desejar instalar o pacote manualmente (diretamente), será possível usar o seguinte comando:
    [[email protected] ~]# rpm -ivh nimsoft-robot.x86_64.rpm
    Ao executar o comando, você obterá a resposta a seguir. A resposta mostra a instalação bem-sucedida do pacote:
    Preparing... ################################# [100%] Updating / installing... 1:nimsoft-robot-9.31-1 ################################# [100%]
  • Se o pacote RPM fizer parte do repositório, será possível usar o seguinte comando para instalar o pacote:
    [[email protected] ~]# yum install nimsoft-robot
    Quando você executar esse comando, a saída a seguir será gerada. A saída mostra que a instalação foi bem-sucedida:
    Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered with an entitlement server. You can use subscription-manager to register. Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================ Package Arch Version Repository Size ============================================================================================================= Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary ============================================================================================================== Install 1 Package Total download size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Warning: RPMDB altered outside of yum. Installing : nimsoft-robot-9.31-1.x86_64 1/1 Verifying : nimsoft-robot-9.31-1.x86_64 1/1 Installed: nimsoft-robot.x86_64 0:9.31-1 Complete!
Instalar pacotes RPM sem verificar as assinaturas
Se você não desejar verificar as assinaturas dos pacotes RPM assinados, será possível prosseguir com a instalação do pacote sem nenhuma verificação. Dependendo da configuração, você poderá usar o comando apropriado para instalar os pacotes:
  • Se você desejar instalar o pacote manualmente (diretamente), será possível usar o comando a seguir. Quando você executa esse comando, a saída do comando exibe um aviso informando que a assinatura não foi verificada. Você pode ignorar esse aviso e continuar com a instalação:
    [[email protected] ~]# rpm -ivh nimsoft-robot.x86_64.rpm
    A resposta a seguir mostra primeiro a mensagem de aviso e, em seguida, continua com a instalação:
    warning: nimsoft-robot.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID 49c0b447: NOKEY Preparing... ################################# [100%] Updating / installing... 1:nimsoft-robot-9.31-1 ################################# [100%]
  • Se o pacote fizer parte do repositório e você desejar instalar a partir do repositório, use o comando a seguir com o filtro --nogpgcheck:
    [[email protected] ~]# yum install --nogpgcheck nimsoft-robot
    Ao executar o comando, você obterá a resposta a seguir. Observe que o pacote foi instalado com êxito:
    Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered with an entitlement server. You can use subscription-manager to register. Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================== Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary =========================================================================================================================================== Install 1 Package Total size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Warning: RPMDB altered outside of yum. Installing : nimsoft-robot-9.31-1.x86_64 1/1 Verifying : nimsoft-robot-9.31-1.x86_64 1/1 Installed: nimsoft-robot.x86_64 0:9.31-1 Complete!
    Se você não usar o filtro --nogpgcheck, não será permitido continuar com a instalação se a assinatura do pacote não for verificada. Observe que a saída exibe uma mensagem de aviso e a instalação não continua:
    Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ==================================================================================================================== Package Arch Version Repository Size ==================================================================================================================== Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary ===================================================================================================================== Install 1 Package Total download size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: warning: /var/cache/yum/x86_64/7Server/nimsoft-remote-repo/packages/nimsoft-robot.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 4b4b47fd: NOKEY======================] 39 kB/s | 10 MB 00:00:00 ETA Public key for nimsoft-robot.x86_64.rpm is not installed nimsoft-robot.x86_64.rpm | 10 MB 00:07:23 Public key for nimsoft-robot.x86_64.rpm is not installed
Verificar a assinatura de pacotes DEB assinados
Antes de instalar os pacotes DEB, é possível verificar sua assinatura para se certificar de que eles não tenham sido violados. Para fazer isso, importe a chave pública do GPG para o conjunto de chaves do GPG e para o banco de dados APT e, em seguida, verifique a assinatura.
Siga estas etapas:
  1. Verifique se os pacotes .deb assinados e o arquivo de chave pública do GPG estão disponíveis no seu computador.
    Faça download do arquivo de chave pública do GPG no site UIM Hotfix Index (em inglês).
  2. Use o comando a seguir para importar a chave pública do GPG para o conjunto de chaves do GPG:
    [[email protected] ~]# gpg --import GPG-KEY-UIM-001
    Ao executar o comando, você obterá a resposta a seguir. Observe que
    imported: 1
    na saída do comando significa que o arquivo foi importado com êxito:
    gpg: key 8B4FDD0849C0B447: public key "uimbuild (UIM GPG signing key) <[email protected]>" import gpg: Total number processed: 1 gpg:
    imported: 1
  3. Use o comando a seguir para importar a chave pública do GPG para o banco de dados APT:
    [[email protected] ~]# apt-key add GPG-KEY-UIM-001
    Ao executar o comando, você obterá a resposta a seguir. Observe que
    OK
    na saída do comando significa que o arquivo foi adicionado com êxito:
    OK
  4. Use o comando a seguir para verificar a assinatura:
    [[email protected] ~]# dpkg-sig --verify nimsoft-robot+debian_amd64.deb
    Ao executar o comando, você obterá a resposta a seguir. Observe que
    GOODSIG
    na saída do comando significa que a verificação foi bem-sucedida:
    Processing nimsoft-robot+debian_amd64.deb...
    GOODSIG
    _gpgbuilder B16265877A80C8FB40327C4A681EFD1DE5124174 1523440651
Você verificou a assinatura com êxito.
Instalando pacotes DEB após a verificação
Dependendo da configuração, você poderá usar o comando apropriado para instalar os pacotes depois que eles forem verificados:
  • Se você desejar instalar o pacote manualmente (diretamente), será possível usar o seguinte comando:
    [[email protected] ~]# dpkg -i nimsoft-robot+ubuntu_amd64.deb
    Ao executar o comando, você obterá a resposta a seguir. A resposta mostra a instalação do pacote:
    Selecting previously unselected package nimsoft-robot. (Reading database ... 121866 files and directories currently installed.) Preparing to unpack nimsoft-robot+ubuntu_amd64.deb ... Unpacking nimsoft-robot (9.31) ... Setting up nimsoft-robot (9.31) ... Processing triggers for ureadahead (0.100.0-20) ...
  • Se o pacote DEB fizer parte do repositório, será possível usar o seguinte comando para instalar o pacote:
    [email protected]:~# apt-get install nimsoft-robot
    Quando você executar esse comando, a saída a seguir será gerada. A saída mostra a instalação:
    Reading package lists... Done Building dependency tree Reading state information... Done The following package was automatically installed and is no longer required: grub-pc-bin Use 'apt autoremove' to remove it. The following NEW packages will be installed: nimsoft-robot 0 upgraded, 1 newly installed, 0 to remove and 99 not upgraded. Need to get 9051 kB of archives. After this operation, 12.3 MB of additional disk space will be used. Get:1 http://10.xx.xxx.xxx trusty/main amd64 nimsoft-robot amd64 9.20 [9051 kB] Fetched 9051 kB in 1s (17.5 MB/s) Selecting previously unselected package nimsoft-robot. (Reading database ... 123945 files and directories currently installed.) Preparing to unpack .../nimsoft-robot_9.20_amd64.deb ... Unpacking nimsoft-robot (9.20) ... Processing triggers for ureadahead (0.100.0-20) ... Processing triggers for systemd (237-3ubuntu10.38) ... Setting up nimsoft-robot (9.20) ... update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Instalar pacotes DEB sem verificar as assinaturas
Se você não desejar verificar as assinaturas dos pacotes DEB assinados, será possível prosseguir com a instalação do pacote sem nenhuma verificação. Dependendo da configuração, você poderá usar o comando apropriado para instalar o pacote:
  • Se você desejar instalar o pacote manualmente (diretamente), será possível usar o seguinte comando:
    [[email protected] ~]# dpkg -i nimsoft-robot+ubuntu_amd64.deb
    A resposta a seguir mostra o processo de instalação:
    Selecting previously unselected package nimsoft-robot. (Reading database ... 121866 files and directories currently installed.) Preparing to unpack nimsoft-robot+ubuntu_amd64.deb ... Unpacking nimsoft-robot (9.31) ... Setting up nimsoft-robot (9.31) ... Processing triggers for ureadahead (0.100.0-20) ...
    Esse comando era executado na versão LTS do Ubuntu 8.04.2. Nessa versão, não era exibido nenhum aviso específico de que a assinatura do pacote não foi verificada.
  • Se o pacote fizer parte do repositório e você desejar instalar a partir do repositório, use o comando a seguir com o filtro --allow-unauthenticated:
    [email protected]:~# apt-get --allow-unauthenticated install nimsoft-robot