CentOS este un sistem de operare foarte solid, iar in opinia noastra este mult mai bun pe partea de securitate decat Ubuntu, mai ales atunci cand avem de rulat un web server.
De-a lungul anilor CentOS a evoluat foarte mult, iar tranzitia de la CentOS 6.x la 7.x a adus foarte multe schimbari la partea de securitate.
Foarte multe vulnerabilitati pe vechile versiuni de CentOS apareau din cauza instalarilor de software din arhive (YUM repository) mai putin sigure. De exemplu, o simpla instalare de LEMP (Linux, NGINX, Mysql & PHP) poate crea probleme in timp daca aceste pachete nu au fost instalate din surse sigure.
Odata cu lansarea CentOS 7 s-au fixat limitari la accesul userilor in fisierele de sistem si limitari in instalarea de pachete “unsigned” sau fara GPG key. Daca ati ajus la acest articol, cel mai probabil ati intalnit eroarea:
GPG key retrieval failed: [Errno 14] curl#37 - Couldn't open file ... RPM-GPG-KEYAceasta apare atunci cand vrem sa instalam (ym install) sau sa facem update (yum -y update) la pachete softeare ce nu contin GNU Privacy Guard (GPG).
Producatorii de software si developerii sunt indemnati ca fiecare software inclus in pachetele de instalare (RPM) sa fie insotite de o semnatura. Este o metoda mai simpla prin care se poate oferi o garantie pentru utilizatori ca aceste RPM-uri sunt sigure. Cheia publica (public key) ce insoteste pachete de instalare este acoperita inRed Hat Network Channel Management Guide si trebuie inregistrata pentru fiecare software din arhiva.
Daca intalniti o astfel de eroare, cel mai bine este sa cautati o arhiva cu public key din care sa instalati software-ul dorit. Daca totusi doriti sa continuati instalarea, cea mai simpla metoda este sa dezactivati verificarea cheii publice din arhiva de instalare.
By default, arhivele de instalare si update software sunt localizate in “/etc/yum.repos.d”. Editati cu “nano” või “vi” fisierul “.repo” din care este extras / descarcat fisierul .rpm fara cheie publica si dezactivati “gpgcheck“. Setati valoare “0”.
[epel]
name=Extra Packages for Enterprise Linux 7 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/7/$basearch
metalink=https://mirrors.fedoraproject.org/metalink?repo=epel-7&arch=$basearch
failovermethod=priority
enabled=1
exclude=nginx*
gpgcheck=0
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7 Savalti modificarile din fisierul .repo editat si rulati din nou update-ul / instalarea. Totul ar trebui sa decurga fara probleme.
Muito obrigado!
A documentação de referência do site do MySQL ficou bem furada nesse processo de instalação. A sua dica me ajudou bastante.