CentOS je velmi solidní operační systém a podle našeho názoru je na tom z hlediska bezpečnosti mnohem lépe než Ubuntu, zvláště když musíme provozovat webový server.
V průběhu let se CentOS hodně vyvíjel a přechod z CentOS 6.x na 7.x přinesl spoustu změn po stránce zabezpečení.
Mnoho zranitelnost na starých verzích CENTOS se objevily kvůli instalacím softwaru z archivů (úložiště YUM) méně jisté. Například jednoduchá instalace LEMP (Linux, Nginx, MySQL & PHP) může časem způsobit problémy, pokud tyto balíčky nebyly nainstalovány z bezpečných zdrojů.
S vydáním CentOS 7 byla nastavena omezení uživatelského přístupu k systémovým souborům a omezení instalace balíčků “nepodepsaný” nebo bez GPG klíče. Pokud jste se dostali k tomuto článku, s největší pravděpodobností jste narazili na chybu:
GPG key retrieval failed: [Errno 14] curl#37 - Couldn't open file ... RPM-GPG-KEYObjeví se, když chceme nainstalovat (ym install) nebo aktualizovat (yum -y update) softwarové balíčky, které neobsahují Ochrana soukromí GNU (GPG).
Výrobci a vývojáři softwaru jsou vyzýváni, aby každý software zahrnutý v instalačních balíčcích (RPM) byl opatřen podpisem. Je to jednodušší metoda, pomocí které lze uživatelům poskytnout záruku, že tyto RPM jsou bezpečné. Veřejný klíč doprovázející instalační balíčky je pokrytPrůvodce správou kanálů sítě Red Hat a musí být registrován pro každý software v archivu.
Pokud na takovou chybu narazíte, je nejlepší vyhledat archiv s veřejným klíčem, ze kterého požadovaný software nainstalujete. Pokud přesto chcete v instalaci pokračovat, nejjednodušší metodou je zakázat ověřování veřejného klíče v archivu instalace.
Ve výchozím nastavení jsou archivy instalačního a aktualizačního softwaru umístěny v “/etc/yum.repos.d”. Upravit pomocí “Nano” nebo “vi” SOUBOR “.repo” ze kterého je extrahován/stažen a zakázán soubor .rpm bez veřejného klíče “gpgcheck“. Nastavit hodnotu “0”.
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
exclude=nginx*
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7 Uložte změny do upraveného souboru .repo a spusťte aktualizaci/instalaci znovu. Vše by mělo jít hladce.
Děkuji mnohokrát!
V tomto instalačním procesu velmi chyběla referenční dokumentace na webu MySQL. Váš tip mi hodně pomohl.