当前位置：首页 > article >正文

别再只会用--nogpgcheck了！手把手教你安全修复PostgreSQL yum源的GPG密钥问题

article 2026/5/25 16:00:19

企业级PostgreSQL部署安全解决GPG密钥验证的完整方案当你在生产环境中部署PostgreSQL时遇到GPG签名验证错误直接使用--nogpgcheck绕过检查就像因为门锁打不开就直接把门拆掉一样危险。本文将带你深入理解GPG验证机制并提供一套既安全又可靠的解决方案。1. 为什么GPG验证不容忽视在Linux软件包管理中GPG签名是确保软件来源可信和完整性的重要防线。根据2023年Sonatype发布的软件供应链报告恶意软件包攻击同比增长了633%其中大部分利用了未经验证的软件源。PostgreSQL官方仓库使用GPG签名的主要目的有身份认证确认软件包确实来自PostgreSQL官方而非中间人攻击者完整性检查确保软件包在传输过程中未被篡改版本控制防止回滚攻击即攻击者用旧版本中的已知漏洞替换新版本常见错误做法对比方法风险等级潜在后果使用--nogpgcheck高危可能安装恶意软件数据泄露系统被入侵正确导入GPG密钥安全确保软件来源可靠符合安全合规要求2. 获取并验证PostgreSQL官方GPG密钥正确的解决方案不是禁用安全检查而是确保系统拥有最新的官方GPG密钥。以下是详细步骤2.1 下载官方GPG密钥# 下载PostgreSQL官方仓库的RPM包 sudo yum install -y https://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm # 导入官方GPG密钥以PostgreSQL 12为例 sudo rpm --import https://download.postgresql.org/pub/repos/yum/keys/PGDG-RPM-GPG-KEY-PGDG-122.2 验证密钥指纹密钥指纹验证是确保你导入的是真正官方密钥的关键步骤# 列出已导入的PGDG密钥 gpg --quiet --with-fingerprint /etc/pki/rpm-gpg/RPM-GPG-KEY-PGDG-12你应该看到类似以下的输出具体指纹请核对PostgreSQL官网最新文档pub rsa4096 2019-11-14 [SC] [expires: 2024-11-12] B97B 0AFC AA1A 47F0 44F2 44A0 7FCC 7D46 ACCC 4CF8 uid PostgreSQL RPM Building Project pgsql-rpm-hackerspostgresql.org注意不同PostgreSQL版本的GPG密钥可能不同务必核对官网文档中的最新指纹信息。3. 配置yum仓库的安全设置即使导入了正确的GPG密钥有时仍会遇到验证错误这通常是由于仓库配置问题导致的。3.1 检查仓库配置文件# 查看PostgreSQL相关的仓库文件 ls -l /etc/yum.repos.d/pgdg-*.repo # 确保gpgcheck1 sudo grep gpgcheck /etc/yum.repos.d/pgdg-*.repo3.2 修复常见的仓库配置问题如果发现gpgcheck0需要手动编辑仓库文件sudo sed -i s/gpgcheck0/gpgcheck1/g /etc/yum.repos.d/pgdg-*.repo对于RHEL/CentOS 7用户还需要检查releasever适配器插件# 检查releasever适配器配置 sudo grep -r releasever /etc/yum/pluginconf.d/4. 安全安装PostgreSQL的最佳实践完成上述准备工作后就可以安全地安装PostgreSQL了。4.1 完整安装流程# 清理yum缓存 sudo yum clean all # 重新生成元数据缓存 sudo yum makecache # 安全安装PostgreSQL 12服务器 sudo yum install -y postgresql12-server # 初始化数据库 sudo /usr/pgsql-12/bin/postgresql-12-setup initdb # 启用并启动服务 sudo systemctl enable postgresql-12 sudo systemctl start postgresql-124.2 验证安装完整性安装完成后建议进行以下安全检查# 验证安装的软件包签名 rpm -q --verify postgresql12-server # 检查文件权限 ls -l /var/lib/pgsql/12/data/5. 自动化安全部署方案对于需要频繁部署的环境可以将这些步骤脚本化。以下是一个示例安全部署脚本#!/bin/bash # PostgreSQL安全安装脚本 set -e PG_VERSION12 REPO_URLhttps://download.postgresql.org/pub/repos/yum/reporpms/EL-7-x86_64/pgdg-redhat-repo-latest.noarch.rpm GPG_KEY_URLhttps://download.postgresql.org/pub/repos/yum/keys/PGDG-RPM-GPG-KEY-PGDG-${PG_VERSION} # 安装仓库配置 yum install -y $REPO_URL # 导入GPG密钥 rpm --import $GPG_KEY_URL # 确保仓库安全设置 sed -i s/gpgcheck0/gpgcheck1/g /etc/yum.repos.d/pgdg-*.repo # 安装PostgreSQL yum install -y postgresql${PG_VERSION}-server # 初始化数据库 /usr/pgsql-${PG_VERSION}/bin/postgresql-${PG_VERSION}-setup initdb # 启动服务 systemctl enable postgresql-${PG_VERSION} systemctl start postgresql-${PG_VERSION}将此脚本保存为install_postgresql_secure.sh后可以通过以下方式执行chmod x install_postgresql_secure.sh sudo ./install_postgresql_secure.sh6. 高级安全加固建议对于安全要求极高的生产环境还可以考虑以下额外措施仓库镜像验证如果使用内部镜像确保镜像同步过程也验证GPG签名软件包哈希校验安装后对比软件包的SHA256哈希值与官方发布的值SELinux策略为PostgreSQL配置适当的SELinux策略定期密钥更新设置定期检查GPG密钥是否过期的监控# 检查GPG密钥过期时间的示例 rpm -qi gpg-pubkey-$(rpm -qa | grep gpg-pubkey | cut -d- -f2- | sort | tail -1) | grep Expires在企业级数据库部署中安全不应该被妥协。每次使用--nogpgcheck都可能为系统打开一个安全漏洞。通过本文介绍的方法你不仅能够解决GPG验证错误还能建立一个更安全的PostgreSQL部署流程。

别再只会用--nogpgcheck了！手把手教你安全修复PostgreSQL yum源的GPG密钥问题

相关文章：

别再只会用--nogpgcheck了！手把手教你安全修复PostgreSQL yum源的GPG密钥问题

当B站字幕不再只是弹幕：你的个人学习宝库解锁指南

别只盯着主控芯片！拆解STM32最小系统板：电源、时钟、复位三大支柱电路深度解析

深入解析NxDumpTool：Switch游戏文件系统提取的终极指南 [特殊字符]

告别Appium！用Python+UIAutomator2搞定Android自动化测试（附完整环境搭建与实战代码）

终极Windows风扇控制指南：FanControl让你的电脑安静又高效

告别Selenium？手把手教你用Playwright录制脚本，5分钟搞定Web自动化测试

终极虚拟显示器解决方案：ParsecVDisplay完整使用指南

如何用Nucleus Co-Op让单机游戏变身本地多人分屏神器

基于窗口比较器与晶体管逻辑的可编程非线性电压指示器设计

AI专著生成必备工具，轻松撰写20万字专著，质量与效率双保障！

茉莉花插件：如何让中文文献管理效率提升300%

5步完美解决Windows 10 PL2303驱动兼容性问题：完整实施方案指南

3分钟快速上手：bilibili-parse视频解析API终极指南

全方位梳理 OpenClaw 部署与使用干货

VideoDownloadHelper终极指南：解锁浏览器视频下载的完整解决方案

3步搞定B站缓存视频转换：m4s转MP4的终极解决方案

服务器数据下载安全：实时加密与动态访问控制实战

智能体任务分配算法：从启发式到深度强化学习的演进与实践

从XAI到HXAI：构建以人为中心的可解释AI框架与实践

你的差异基因结果可靠吗？用MetaVolcanoR给多个GEO数据集做一次‘交叉验证’吧

MaxEnt建模总失败？别急着换数据，先检查ArcGIS裁剪栅格这1个像素的坑

Mysql？基础语法！！！

终极Obsidian笔记模板指南：如何用kepano-obsidian构建你的第二大脑

从脚本到系统：设计一个支持插件、限流、重试与监控的 Python 异步爬虫框架

ComfyUI-WD14-Tagger：AI智能图像标签提取的终极完整指南

终极音乐解锁指南：3步让加密音乐在任何设备自由播放

概率论：常见分布的期望与方差、中心极限定理、切比雪夫不等式

3步掌握OpenSpeedy：免费开源游戏加速工具使用指南

基于BLE模块的低功耗无线遥控器设计与实现