Все пакеты Red Hat Enterprise Linux подписаны ключом GPG Red Hat, Inc. GPG (GNU Privacy Guard) - бесплатный пакет аутентификации распространяемых файлов. Например, закрытый (секретный) ключ, хранимый компанией Red Hat, закрывает пакет, тогда как открытый раскрывает и проверяет его. Если при проверке RPM открытый ключ, распространяемый Red Hat, не соответствует закрытому, это значит, что пакет был изменён и, таким образом, доверять ему нельзя.

Входящая в состав Red Hat Enterprise Linux утилита RPM автоматически проверяет подпись GPG пакета RPM до начала установки. Установите ключ GPG Red Hat с безопасного источника (например, установочного диска Red Hat Enterprise Linux).

Допустим, что CD-ROM подключен к /mnt/cdrom. Следующая команда выполнит его импорт в связку ключей (базу данных доверенных ключей):

        rpm --import /mnt/cdrom/RPM-GPG-KEY
      

Выполните следующую команду для отображения списка всех ключей:

        rpm -qa gpg-pubkey*
      

Вывод ключа Red Hat будет выглядеть следующим образом:

        gpg-pubkey-db42a60e-37ea5438
      

Для того, чтобы увидеть детали отдельного ключа, выполните команду rpm -qi в комбинации с результатом предыдущей команды:

        rpm -qi gpg-pubkey-db42a60e-37ea5438
      

Обязательно выполните проверку подписи пакетов RPM перед их установкой для того, чтобы убедиться, что оригинальные пакеты Red Hat, Inc. не были модифицированы. Для проверки всех загруженных пакетов выполните следующую команду:

        rpm -K /tmp/updates/*.rpm
      

Если ключ GPG каждого пакета соответствует ожидаемому, результатом выполнения команды будет gpg OK. В противном случае, убедитесь в том, что вы используете правильный общий ключ Red Hat. Пакеты, не прошедшие проверку GPG не должны быть установлены, поскольку они могли быть незаконно модифицированы.

После окончания проверки ключа GPG и загрузки всех пакетов, выполните установку пакетов из командной строки от имени пользователя root.