CentOS RPM包签名验证（手把手教你保障系统软件安全）

在使用 CentOS 系统时，我们经常通过

yum

dnf

什么是 RPM 包签名？

RPM 包签名是使用 GPG（GNU Privacy Guard） 对软件包进行数字签名的过程。签名包含两个关键作用：

当你启用 RPM GPG签名 验证后，系统会在安装前自动检查每个 RPM 包的签名是否有效。如果签名无效或缺失，安装将被拒绝，从而防止恶意软件入侵。

步骤一：检查当前 YUM 仓库是否启用了 GPG 检查

首先，查看你的 YUM 仓库配置文件是否启用了 GPG 验证。仓库配置文件通常位于

/etc/yum.repos.d/

# 查看 CentOS 官方仓库配置$ cat /etc/yum.repos.d/CentOS-Base.repo

在输出中，寻找类似以下的配置项：

[base]name=CentOS-$releasever - Basemirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os&infra=$infra#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/gpgcheck=1gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7enabled=1

关键参数说明：

gpgcheck=1

gpgkey=...

???? 建议：始终确保

gpgcheck=1

，这是保障 CentOS软件包安全 的基础。

步骤二：导入官方 GPG 公钥

如果你的系统尚未导入 CentOS 官方 GPG 公钥，需要手动导入。以 CentOS 7 为例：

# 导入 CentOS 7 官方 GPG 公钥sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

如果你使用的是 CentOS 8 或 Stream，公钥路径可能略有不同，例如：

# CentOS 8sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-centosofficial

你可以通过以下命令列出已导入的 GPG 密钥：

rpm -q gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE}\t%{SUMMARY}\n'

步骤三：测试 RPM 包签名验证

现在尝试安装一个软件包，观察是否触发签名验证：

sudo yum install -y wget

如果一切正常，你会看到类似如下信息（无错误）：

Verifying : wget-1.14-18.el7_6.1.x86_64...Installed:  wget.x86_64 0:1.14-18.el7_6.1

如果出现

Public key for ... is not installed

常见问题与解决方案

Q1：如何临时跳过 GPG 验证？

虽然不推荐，但在某些调试场景下可以临时跳过：

sudo yum install --nogpgcheck package-name

⚠️ 警告：仅在可信环境下使用

--nogpgcheck

，否则可能引入恶意软件。

Q2：自建 YUM 仓库如何添加签名？

如果你维护自己的 RPM 仓库，可以使用

createrepo

# 1. 创建 GPG 密钥（如尚未有）gpg --gen-key# 2. 导出公钥供客户端使用gpg --export -a "Your Name" > RPM-GPG-KEY-yourcompany# 3. 对 RPM 包签名rpm --addsign your-package.rpm# 4. 生成带签名的仓库元数据createrepo --database --pretty /path/to/repo

总结

通过本教程，你已经掌握了 CentOS RPM包签名验证 的核心知识，包括启用 GPG 检查、导入公钥、验证安装过程等。这不仅能提升你的系统安全性，也是运维最佳实践的重要组成部分。

记住，永远不要轻易关闭

gpgcheck

希望这篇教程对你有帮助！欢迎收藏并分享给其他 CentOS 用户。