使用 RPM 软件包的签名管理工具：rpmsign

1. 命令简介

rpmsign 是 RPM 包管理系统中用于管理软件包数字签名的命令行工具。它主要用于对 RPM 软件包进行签名、验证签名、删除签名以及导入签名所需的公钥等操作。数字签名用于验证软件包的完整性和来源的真实性，是确保软件包在分发过程中未被篡改的关键安全机制。

2. 语法格式

bash

运行

rpmsign [选项] [软件包文件...]

说明：

• [选项]：指定 rpmsign 执行的具体操作及相关参数。
• [软件包文件...]：一个或多个 RPM 软件包文件（通常以.rpm为扩展名）。对于某些操作（如--addsign、--checksig），此参数是必需的。

3. 常用选项及说明

表格

关键点

• --addsign、--delsign、--resign操作会直接修改原始的.rpm文件。
• 签名操作需要预先在~/.rpmmacros文件中配置签名密钥（通常通过%_gpg_name宏指定），并且需要访问该密钥的私钥。
• --checksig是验证从外部获取的软件包时的标准操作。

4. 示例用法

示例 1：导入公钥

在验证来自某个仓库的软件包前，需要先导入该仓库发布的公钥。

bash

运行

sudo rpmsign --import RPM-GPG-KEY-example-company

示例 2：验证软件包签名和完整性

这是最常用的操作，用于检查下载的软件包是否完整且来自可信源。

bash

运行

rpmsign --checksig google-chrome-stable_current_x86_64.rpm

输出可能类似于：

plaintext

google-chrome-stable_current_x86_64.rpm: rsa sha1 (md5) pgp md5 确定

“确定” 表示签名和摘要验证均通过。

示例 3：为软件包添加签名

假设已配置好签名密钥，为自己构建的 RPM 包添加签名。

bash

运行

rpmsign --addsign myapp-1.0-1.el7.x86_64.rpm

系统可能会提示输入 GPG 密钥的密码。

示例 4：重新签名软件包

使用当前配置的新密钥，替换软件包中的旧签名。

bash

运行

rpmsign --resign legacy-package-2.0-1.x86_64.rpm

示例 5：验证时跳过签名检查

在某些内部场景下，可能只关心软件包内容是否完整，不验证来源。

bash

运行

rpmsign --checksig --nosignature some-package.rpm

示例 6：删除软件包中的签名

移除以减小文件大小或进行内部处理（通常不推荐，会破坏验证链）。

bash

运行

rpmsign --delsign internal-tool-1.5.rpm

5. 注意事项

• 权限要求：--import操作通常需要 root 权限，因为要将公钥写入系统级的 RPM 数据库（/var/lib/rpm目录下）；--addsign、--delsign、--resign操作需要对目标 RPM 文件有写权限。
• 密钥配置：执行签名操作（--addsign、--resign）前，必须确保已在~/.rpmmacros（用户级）或/etc/rpm/macros（系统级）中正确配置了 GPG 签名密钥，例如：%_gpg_name Your Name <email@example.com>。
• 文件修改：--addsign、--delsign、--resign会原地修改指定的 RPM 文件。建议对重要软件包提前进行备份。
• 验证结果解读：使用--checksig时，输出中的 “确定” 表示所有检查通过。如果签名或摘要验证失败，会明确报错（如NOKEY表示缺少公钥，BAD表示签名不匹配或文件损坏）。
• 与 rpm 命令的关系：rpm命令本身也包含--checksig、--import等子命令，功能与rpmsign重叠。rpmsign可以看作是对 RPM 签名管理功能的专门化封装，在脚本化或专注签名操作时更为清晰。

获取更多Linux学习资料请关注“阿成学长工具包”公众号，对话框中输入2647获取