Zh/Enabling new signing key

From FedoraProject

< Zh
Jump to: navigation, search

Fedora项目近期重新用新密匙标记了所有的包。有关密钥更改的背景细节现发布于此。本网页旨在帮助Fedora 8和Fedora 9用户向新标记的内容和未来的更新转移。

Contents

发生了什么事?

Fedora 8和Fedora 9现有的所有发布包和更新,将以新的GPG密钥重新标记。新标记的内容会放在镜像中的新目录里,新的fedora-release包会发布在原来的地方,它以原密钥标记,并会引用新的地址和新GPG密钥。

为什么?

Fedora对待安全问题和用户的信任是审慎的,我们要让Fedora的用户毫不怀疑他们获得的软件包确来自于Fedora。因为我们对继续使用以前的GPG 密钥未能有十足的信心,故而创建了新的密钥。用于转移的fedora-release包和PackageKit更新均以原密钥标记,如果原密钥得到信任的话,现有的用户则可以自动安装它们。它们将是用原密钥标记的最后的软件包。

何时?

软件包的重新标记工作分阶段实施。第一阶段包括重新标记所有发布过的Fedora 8 和Fedora 9更新、更新测试以及待定更新。第二阶段包括重新标记Fedora 8 和Fedora 9所有发行软件包。第一阶段现己完成,第二阶段正在进行中。为了使用户得到重要的更新,鉴于第一阶段现己完成,我们开启了Fedora 8 和Fedora 9的更新进程。

如何做?

本网页在此细述了有关重新标记Fedora 8 和Fedora 9所有内容的步骤。我们正尽一切努力来保证最終用户的更新过程尽可能简短,并希望它完全无缝平滑。

我该做什么?

应用你看到的下一批的可用更新,然后应用你看到的其它进一步的更新,在此过程中按更新软件的提示,确认并导入新的GPG密钥。这就行了。

Idea.png
检查密匙指纹
密钥指纹可在此处检查 https://fedoraproject.org/keys.

如果有什么不对劲怎么办?

如果你的软件更新未成功执行,以下是手动的更新步骤:

安装新的fedora-release包

Fedora 8

  1. 下载已经更新并标记了的fedora-release包.
  2. 确认该包的sha1sum符合9a684ad36f4c1f49df7c569d5990d00f7da2cb9c:
    sha1sum fedora-release-8-6.transition.noarch.rpm
  3. 用rpm安装该包:
    su -c 'rpm -Uvh fedora-release-8-6.transition.noarch.rpm'
  4. 继续导入新密匙.

Fedora 9

  1. 下载已经更新并标记了的fedora-release包
  2. 确认该包的sha1sum符合259165485c16d39904200b069873967e3eb5fa6e:
    sha1sum fedora-release-9-5.transition.noarch.rpm
  3. 用rpm安装该包:
    su -c 'rpm -Uvh fedora-release-9-5.transition.noarch.rpm'
  4. 继续导入新密匙.

导入新密匙

  1. 确认并向钥匙集导入新的GPG密钥,请参见:https://fedoraproject.org/keys.
  2. 向RPM数据库导入密钥:
    su -c 'rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-fedora-8-and-9'
  3. 用更新工具获得并安装任何来自新地址的更新。

系统上的原密匙

现在我们仍然对原密钥有所依赖。一但这些依赖问题解决,我们会用更新的rpm和fedora-release包将原密钥和原软件库的设置从现有的Fedora系统中清除。

已知问题

在任何情况下,最好用上述的手动方法来转移。这里会不断更新地列出在转移过程中可能出现的问题:

  • PackageKit可能无法导入新密钥。用上述手动方法解决此问题。
  • 在安装了第一批更新后,PackageKit可能不会通知你有新的更新,你得手动进行系统更新,或者重启系统。
  • 在更新到新的软件库时,有的镜像可能存在错误的依赖。我们感到遗憾的是,这种情形还在不时出现。我们会以更进一步的更新努力来解决这些问题。针对这个问题的解决方法是:你可选择应用部份更新,比如只更新那些与安全有关的包。
    • 如果得到有关yum-utils的错误,排除 yum包可以解决问题,用此命令:
      su -c 'yum update --exclude yum --exclude yum-utils'
    • 也可用此普遍适用的方法来解决:
      su -c 'yum --skip-broken update'
  • 你或许得到下列一个或全部警告。忽略这些警告是安全的。已经不再需要这些软件库和你系统中相应的文件来获得更新了,把它们留在那里并无大碍。(“\“是换行符)
warning: /etc/yum.repos.d/fedora-updates.repo created as \
/etc/yum.repos.d/fedora-updates.repo.rpmnew
warning: /etc/yum.repos.d/fedora.repo created as \
/etc/yum.repos.d/fedora.repo.rpmnew
  • 安装了protectbase (yum-protectbase)这个yum的插件并用之于Fedora原软件库时,它会阻止来自于新密钥软件库的更新。用rpm -q yum-protectbase来检查你是否安装了它。最好编辑在/etc/yum.repos.d的.repo文件,将protect=yes改为protect=no,来让针对原密钥的protectbase失效。或者,在检查更新的时候不要使用protectbase:
su -c 'yum --skip-broken --disableplugin=protectbase update'

有问题吗?

鉴于来自Fedora社区各方的问题将在此张贴并回答,此处的讨论版将用于发布问题和评论。

联系

如果你想联系那些参与此过程的人们,可以在freenode网的IRC,#fedora-admin频道上找到我们。