Linux RPM包必须签名吗？

是否必须签署RPM？不签署RPM会导致分发或上传到中央存储库方面出现任何问题吗？

签署包不是强制性的，但出于完整性验证的原因，建议这样做。如果您正在开发一个要包含在大型现有存储库中的包（如EPEL、RPM Fusion等），则他们将在发布包时使用密钥对其进行签名。

最近（几年）的yum配置默认情况下要求对RPM进行签名。当然，您可以使用中所述的选项覆盖默认设置（禁用GPG检查）。因此，这在技术上不是强制性的，但管理政策（如红帽公司的客户）可能会禁止这种变通办法。红帽在他们的作品中给予了支持

实际上，您可以使用自己的gpg签名（如中所述）和

rpm--addsign

对任何包进行签名。百胜将接受这一点以及任何其他签名

除了初始安装之外，在验证软件包（使用

rpm-V

检查安装后的更改）时，签名也很重要。无论是否发现差异，如果

rpm-qi

显示意外（或缺失）签名，则表明可能篡改了包

---

如果您是自己安装的，这些问题可能不是很有趣。

定义“中央存储库”。但不需要，除非您希望能够验证包是否符合您的期望，否则不需要签名。它们也可能会处理从源代码处为您实际构建的工作。