RPMパッケージのダウンロード後は署名チェックをしよう

[木田佳克，ITmedia]

　RPMパッケージを特定のサイト上からダウンロードした場合GnuPG認証の署名確認を行いたい。次のように指定すればよい。

# rpm --checksig filename

表示例
# rpm --checksig iptables-1.2.4-2.i386.rpm
iptables-1.2.4-2.i386.rpm: md5 gpg OK

　また、各パッケージがダウンロード途中に破損していないか、もしくは改ざんされていないかも確認するには、次のようにMD5サムのみを調べよう。

# rpm --checksig --nogpg filename

表示例
# rpm --checksig --nogpg iptables-1.2.4-2.i386.rpm
iptables-1.2.4-2.i386.rpm: md5 OK

　なお、上記のrpmコマンドで調査するMD5サムはファイル自体の値とは異なることに注意したい。RPMパッケージ以外のファイルでは、当然ながらファイル自体のMD5 sum値が掲載されている。

・RPMパッケージファイルに含まれるMD5 sum

$ rpm --checksig -vv kernel-2.4.9-34.i686.rpm
～中略～
MD5 sum OK: 6cbc199db09a22445951bbee72c43866

・ファイル自体のMD5 sumを調べる場合

$ md5sum kernel-2.4.9-34.i686.rpm
88a2b7cf794d2a61ba31ef3102af3711　kernel-2.4.9-34.i686.rpm

注目のテーマ