Paquetes firmados con claves activadas para GPG

(A partir de UIM 20.3.3) Esta versión de UIM proporciona los paquetes .rpm y .deb firmados con las claves activadas para GNU Privacy Guard (GPG).Con este mecanismo de seguridad mejorado, se mantiene la integridad de los paquetes.Esto permite verificar que los paquetes que se están utilizando para la instalación sean los mismos que los que se descargaron desde el sitio de soporte. Por lo tanto, se puede tener la seguridad de que no se han producido modificaciones en los paquetes después de firmarlos, lo que proporciona calidad y seguridad al paquete entregado.
La siguiente ilustración resume el proceso:
Los temas siguientes proporcionan la información detallada:
3
2
Paquetes RPM y DEB admitidos
Los siguientes paquetes se han firmado con las claves activadas para GPG:
  • nimsoft-robot.i386.rpm
  • nimsoft-robot.x86_64.rpm
  • nimsoft-robot+debian_amd64.deb
  • nimsoft-robot+ubuntu_amd64.deb
Tenga en cuenta que las versiones anteriores de estos paquetes no están firmadas con las claves activadas para GPG.
Verificación de los requisitos previos
Asegúrese de que el entorno cumpla los siguientes requisitos:
  • GPG versión 2.2.4 (o posterior)
  • RPM versión 4.0 (o posterior)
  • dpkg-sig (para archivos binarios de Debian/Ubuntu)
Verificación de la firma de los paquetes RPM y DEB firmados
Para verificar la firma de los paquetes RPM y DEB firmados, siga el procedimiento apropiado indicado en esta sección:
Verificación de la firma de los paquetes RPM firmados
Antes de instalar los paquetes, se puede verificar la firma de los paquetes para asegurarse de que no se hayan manipulado. Para hacerlo, se debe importar la clave pública de GPG en el conjunto de claves de GPG y en la base de datos de RPM y, a continuación, se deben verificar las firmas. 
Siga los pasos siguientes:
  1. Verifique que los paquetes .rpm firmados y la clave pública de GPG estén disponibles en el equipo.
    Descargue el archivo de la clave pública de GPG desde el sitio Índice de revisión de UIM.
  2. Use el siguiente comando para importar la clave pública de GPG en el conjunto de claves de GPG:
    [[email protected] ~]# gpg --import GPG-KEY-UIM-001
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. Tenga en cuenta que
    imported: 1
    en la salida del comando significa que el archivo se ha importado correctamente:
    gpg: key 8B4FDD0849C0B447: public key "uimbuild (UIM GPG signing key) <[email protected]>" import gpg: Total number processed: 1 gpg: imported: 1
  3. Use el siguiente comando para importar la clave pública de GPG en la base de datos de RPM:
    [[email protected] ~]# rpm --import GPG-KEY-UIM-001
    Este comando no muestra ninguna salida en la pantalla.Por lo tanto, se puede usar el comando siguiente para verificar que se ha importado el archivo de clave pública:
    [[email protected] ~]# rpm -q gpg-pubkey --qf '%{name}-%{version}-%{release} --> %{summary}\n'
    Cuando se ejecuta este comando, se genera la salida siguiente. Tenga en cuenta que el segmento
    uimbuild (UIM GPG Signing) <[email protected]>
    en la salida muestra que se ha importado el archivo de clave pública:
    gpg-pubkey-fd431d51-4ae0493b --> gpg(Red Hat, Inc. (release key 2) <[email protected]>) gpg-pubkey-2fa658e0-45700c69 --> gpg(Red Hat, Inc. (auxiliary key) <[email protected]>) gpg-pubkey-b74246ce-58d281c9 --> gpg(uimbuild (UIM GPG Signing) <[email protected]>)
  4. Utilice el siguiente comando para verificar la firma:
    [[email protected] ~]# rpm -K nimsoft-robot.x86_64.rpm
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. Esta respuesta muestra que la firma se ha verificado correctamente:
    nimsoft-robot.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
Se han verificado correctamente los paquetes RPM.
Instalación de paquetes RPM después de la verificación
En función de la instalación, se puede usar el comando apropiado para instalar los paquetes después de verificarlos:
  • Si desea instalar manualmente (directamente) el paquete, puede utilizar el siguiente comando:
    [[email protected] ~]# rpm -ivh nimsoft-robot.x86_64.rpm
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. La respuesta muestra la instalación correcta del paquete:
    Preparing... ################################# [100%] Updating / installing... 1:nimsoft-robot-9.31-1 ################################# [100%]
  • Si el paquete RPM forma parte del repositorio, se puede usar el comando siguiente para instalar el paquete:
    [[email protected] ~]# yum install nimsoft-robot
    Cuando se ejecuta el comando, se genera la salida siguiente. La salida muestra que la instalación se ha realizado correctamente:
    Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered with an entitlement server. You can use subscription-manager to register. Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ============================================================================================================ Package Arch Version Repository Size ============================================================================================================= Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary ============================================================================================================== Install 1 Package Total download size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Warning: RPMDB altered outside of yum. Installing : nimsoft-robot-9.31-1.x86_64 1/1 Verifying : nimsoft-robot-9.31-1.x86_64 1/1 Installed: nimsoft-robot.x86_64 0:9.31-1 Complete!
Instalación de los paquetes RPM sin verificar firmas
Si no desea verificar las firmas de los paquetes RPM firmados, puede continuar con la instalación del paquete sin ninguna verificación.En función de la instalación, se puede usar el comando apropiado para instalar los paquetes:
  • Si desea instalar manualmente (directamente) el paquete, puede utilizar el siguiente comando. Cuando se ejecuta este comando, la salida del comando muestra una advertencia que indica que la firma no se ha verificado. Se puede ignorar esa advertencia y continuar con la instalación:
    [[email protected] ~]# rpm -ivh nimsoft-robot.x86_64.rpm
    La siguiente respuesta primero muestra el mensaje de advertencia y, a continuación, continúa con la instalación:
    warning: nimsoft-robot.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID 49c0b447: NOKEY Preparing... ################################# [100%] Updating / installing... 1:nimsoft-robot-9.31-1 ################################# [100%]
  • Si el paquete forma parte del repositorio y desea instalarlo desde el repositorio, utilice el siguiente comando con el filtro --nogpgcheck:
    [[email protected] ~]# yum install --nogpgcheck nimsoft-robot
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. Tenga en cuenta que el paquete se ha instalado correctamente:
    Loaded plugins: langpacks, product-id, search-disabled-repos, subscription-manager This system is not registered with an entitlement server. You can use subscription-manager to register. Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ========================================================================================================================================== Package Arch Version Repository Size ========================================================================================================================================== Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary =========================================================================================================================================== Install 1 Package Total size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: Running transaction check Running transaction test Transaction test succeeded Running transaction Warning: RPMDB altered outside of yum. Installing : nimsoft-robot-9.31-1.x86_64 1/1 Verifying : nimsoft-robot-9.31-1.x86_64 1/1 Installed: nimsoft-robot.x86_64 0:9.31-1 Complete!
    Si no usa el filtro --nogpgcheck, no podrá continuar con la instalación si no se ha verificado la firma del paquete. Tenga en cuenta que la salida muestra un mensaje de advertencia y que la instalación no continúa:
    Resolving Dependencies --> Running transaction check ---> Package nimsoft-robot.x86_64 0:9.31-1 will be installed --> Finished Dependency Resolution Dependencies Resolved ==================================================================================================================== Package Arch Version Repository Size ==================================================================================================================== Installing: nimsoft-robot x86_64 9.31-1 nimsoft-remote-repo 10 M Transaction Summary ===================================================================================================================== Install 1 Package Total download size: 10 M Installed size: 64 M Is this ok [y/d/N]: y Downloading packages: warning: /var/cache/yum/x86_64/7Server/nimsoft-remote-repo/packages/nimsoft-robot.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 4b4b47fd: NOKEY======================] 39 kB/s | 10 MB 00:00:00 ETA Public key for nimsoft-robot.x86_64.rpm is not installed nimsoft-robot.x86_64.rpm | 10 MB 00:07:23 Public key for nimsoft-robot.x86_64.rpm is not installed
Verificación de la firma de los paquetes DEB firmados
Antes de instalar los paquetes, se puede verificar la firma de los paquetes DEB para asegurarse de que no se hayan manipulado. Para hacerlo, se debe importar la clave pública de GPG en el conjunto de claves de GPG y en la base de datos de APT y, a continuación, se debe verificar la firma.
Siga los pasos siguientes:
  1. Verifique que los paquetes .deb firmados y el archivo de la clave pública de GPG estén disponibles en el equipo.
    Descargue el archivo de la clave pública de GPG desde el sitio Índice de revisión de UIM.
  2. Use el siguiente comando para importar la clave pública de GPG en el conjunto de claves de GPG:
    [[email protected] ~]# gpg --import GPG-KEY-UIM-001
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. Tenga en cuenta que
    imported: 1
    en la salida del comando significa que el archivo se ha importado correctamente:
    gpg: key 8B4FDD0849C0B447: public key "uimbuild (UIM GPG signing key) <[email protected]>" import gpg: Total number processed: 1 gpg:
    imported: 1
  3. Use el siguiente comando para importar la clave pública de GPG en la base de datos de APT:
    [[email protected] ~]# apt-key add GPG-KEY-UIM-001
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. Tenga en cuenta que
    OK
    en la salida del comando significa que el archivo se ha agregado correctamente:
    OK
  4. Utilice el siguiente comando para verificar la firma:
    [[email protected] ~]# dpkg-sig --verify nimsoft-robot+debian_amd64.deb
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. Tenga en cuenta que
    GOODSIG
    en la salida del comando indica que la verificación se ha realizado correctamente:
    Processing nimsoft-robot+debian_amd64.deb...
    GOODSIG
    _gpgbuilder B16265877A80C8FB40327C4A681EFD1DE5124174 1523440651
Se ha verificado correctamente la firma.
Instalación de paquetes DEB después de la verificación
En función de la instalación, se puede usar el comando apropiado para instalar los paquetes después de verificarlos:
  • Si desea instalar manualmente (directamente) el paquete, puede utilizar el siguiente comando:
    [[email protected] ~]# dpkg -i nimsoft-robot+ubuntu_amd64.deb
    Cuando se ejecuta el comando, se obtiene la respuesta siguiente. La respuesta muestra la instalación del paquete:
    Selecting previously unselected package nimsoft-robot. (Reading database ... 121866 files and directories currently installed.) Preparing to unpack nimsoft-robot+ubuntu_amd64.deb ... Unpacking nimsoft-robot (9.31) ... Setting up nimsoft-robot (9.31) ... Processing triggers for ureadahead (0.100.0-20) ...
  • Si el paquete DEB forma parte del repositorio, se puede usar el comando siguiente para instalar el paquete:
    [email protected]:~# apt-get install nimsoft-robot
    Cuando se ejecuta el comando, se genera la salida siguiente. La salida muestra la instalación:
    Reading package lists... Done Building dependency tree Reading state information... Done The following package was automatically installed and is no longer required: grub-pc-bin Use 'apt autoremove' to remove it. The following NEW packages will be installed: nimsoft-robot 0 upgraded, 1 newly installed, 0 to remove and 99 not upgraded. Need to get 9051 kB of archives. After this operation, 12.3 MB of additional disk space will be used. Get:1 http://10.xx.xxx.xxx trusty/main amd64 nimsoft-robot amd64 9.20 [9051 kB] Fetched 9051 kB in 1s (17.5 MB/s) Selecting previously unselected package nimsoft-robot. (Reading database ... 123945 files and directories currently installed.) Preparing to unpack .../nimsoft-robot_9.20_amd64.deb ... Unpacking nimsoft-robot (9.20) ... Processing triggers for ureadahead (0.100.0-20) ... Processing triggers for systemd (237-3ubuntu10.38) ... Setting up nimsoft-robot (9.20) ... update-rc.d: warning: start and stop actions are no longer supported; falling back to defaults
Instalación de los paquetes DEB sin verificar firmas
Si no desea verificar las firmas de los paquetes DEB firmados, puede continuar con la instalación del paquete sin ninguna verificación.En función de la instalación, se puede usar el comando apropiado para instalar el paquete:
  • Si desea instalar manualmente (directamente) el paquete, puede utilizar el siguiente comando:
    [[email protected] ~]# dpkg -i nimsoft-robot+ubuntu_amd64.deb
    La respuesta siguiente muestra el proceso de instalación:
    Selecting previously unselected package nimsoft-robot. (Reading database ... 121866 files and directories currently installed.) Preparing to unpack nimsoft-robot+ubuntu_amd64.deb ... Unpacking nimsoft-robot (9.31) ... Setting up nimsoft-robot (9.31) ... Processing triggers for ureadahead (0.100.0-20) ...
    Este comando se ha ejecutado en la versión 8.04.2 LTS de Ubuntu. En esa versión, no se muestra ninguna advertencia específica que indica que la firma del paquete no se ha verificado.
  • Si el paquete forma parte del repositorio y desea instalarlo desde el repositorio, utilice el siguiente comando con el filtro --allow-unauthenticated:
    [email protected]:~# apt-get --allow-unauthenticated install nimsoft-robot