解决YUM GPG密钥验证失败问题 GPG key retrieval failed报错 导入公钥/关闭验证两种解决方案

在使用 Linux 系统进行软件包管理时，YUM（Yellowdog Updater, Modified）是一个非常常用的工具。它可以帮助我们方便地安装、更新和删除软件包。然而，有时候在使用 YUM 时会遇到 GPG 密钥验证失败的问题，报错信息通常为 “GPG key retrieval failed”。接下来，我们就详细探讨这个问题以及相应的解决方案。

一、问题背景和应用场景

1.1 什么是 GPG 密钥验证

GPG（GNU Privacy Guard）是一种加密系统，在 YUM 中，GPG 密钥验证用于确保我们下载的软件包是来自可信的源，没有被篡改。当我们使用 YUM 安装或更新软件包时，YUM 会检查软件包的签名是否与预先信任的 GPG 公钥匹配。如果匹配，说明软件包是安全的；如果不匹配，就会出现 GPG 密钥验证失败的问题。

1.2 应用场景

在以下几种情况下，我们可能会遇到 GPG 密钥验证失败的问题：

• 首次使用某个软件源：当我们添加一个新的软件源时，系统可能没有该软件源的 GPG 公钥，就会导致验证失败。
• 公钥过期或损坏：GPG 公钥有一定的有效期，过期后需要更新；或者公钥文件可能因为各种原因损坏，也会导致验证失败。
• 网络问题：如果在获取 GPG 公钥时网络不稳定，可能无法成功下载公钥，从而出现验证失败的情况。

二、问题分析

2.1 报错信息解读

当出现 “GPG key retrieval failed” 报错时，我们可以从报错信息中获取一些线索。例如，报错信息可能会提示无法连接到公钥服务器，或者找不到公钥文件等。下面是一个具体的报错示例：

http://mirror.centos.org/centos/7/os/x86_64/repodata/repomd.xml: [Errno -1] repomd.xml signature could not be verified for base
Trying other mirror.
http://mirror.centos.org/centos/7/os/x86_64/repodata/repomd.xml: [Errno -1] repomd.xml signature could not be verified for base
GPG key retrieval failed: [Errno 14] curl#6 - "Could not resolve host: keys.gnupg.net; Unknown error"

从这个报错信息中，我们可以看到是因为无法解析公钥服务器 “keys.gnupg.net” 的主机名，导致无法获取 GPG 公钥。

2.2 可能的原因总结

• 网络问题：如上述示例，无法连接到公钥服务器，可能是 DNS 配置错误、防火墙限制等原因。
• 公钥服务器问题：公钥服务器可能暂时不可用，或者公钥服务器的配置发生了变化。
• 公钥文件问题：本地公钥文件缺失、损坏或过期。

三、解决方案一：导入公钥

3.1 查找公钥文件

首先，我们需要找到对应的 GPG 公钥文件。公钥文件通常可以从软件源的官方网站或文档中获取。以 CentOS 系统为例，CentOS 的 GPG 公钥可以在官方镜像站点找到。

3.2 导入公钥

找到公钥文件后，我们可以使用 rpm --import 命令来导入公钥。以下是具体的操作步骤和示例：

# 下载公钥文件
wget https://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-7
# 导入公钥
rpm --import RPM-GPG-KEY-CentOS-7

在这个示例中，我们首先使用 wget 命令从 CentOS 官方镜像站点下载了 CentOS 7 的 GPG 公钥文件，然后使用 rpm --import 命令将公钥导入到系统中。导入成功后，再次使用 YUM 安装或更新软件包时，就可以正常进行 GPG 密钥验证了。

3.3 验证公钥是否导入成功

我们可以使用 rpm -q gpg-pubkey 命令来验证公钥是否导入成功。示例如下：

rpm -q gpg-pubkey

如果公钥导入成功，会显示已导入的公钥信息，例如：

gpg-pubkey-24c6a8a7-50449127

四、解决方案二：关闭验证

4.1 临时关闭验证

如果我们只是想临时解决 GPG 密钥验证失败的问题，可以在使用 YUM 命令时添加 --nogpgcheck 参数。示例如下：

yum install httpd --nogpgcheck

在这个示例中，我们使用 yum install 命令安装 httpd 软件包，并添加了 --nogpgcheck 参数，这样在安装过程中就会跳过 GPG 密钥验证。需要注意的是，这种方法只是临时的，不建议长期使用，因为关闭 GPG 密钥验证会增加系统的安全风险。

4.2 永久关闭验证

如果我们确定某个软件源不需要进行 GPG 密钥验证，可以通过修改 YUM 配置文件来永久关闭验证。以 CentOS 系统为例，我们可以编辑 /etc/yum.repos.d/ 目录下的相应软件源配置文件，将 gpgcheck 参数设置为 0。示例如下：

[base]
name=CentOS-$releasever - Base
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=0  # 将 gpgcheck 设置为 0 表示关闭 GPG 密钥验证
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

修改完成后，保存配置文件，再次使用 YUM 操作该软件源时，就不会进行 GPG 密钥验证了。

五、两种解决方案的技术优缺点

5.1 导入公钥的优缺点

优点

• 安全性高：通过导入公钥，我们可以确保下载的软件包是来自可信的源，没有被篡改，保障了系统的安全性。
• 符合最佳实践：在生产环境中，建议使用这种方法，遵循安全最佳实践。

缺点

• 操作相对复杂：需要找到正确的公钥文件，并进行导入操作。如果公钥文件获取困难或导入过程中出现问题，可能会比较麻烦。
• 依赖网络和公钥服务器：如果网络不稳定或公钥服务器不可用，无法成功获取和导入公钥。

5.2 关闭验证的优缺点

优点

• 操作简单：无论是临时关闭还是永久关闭，都只需要简单的命令或配置修改，就能快速解决问题。
• 不依赖公钥服务器：不需要从公钥服务器获取公钥，避免了因网络或公钥服务器问题导致的验证失败。

缺点

• 安全风险高：关闭 GPG 密钥验证后，系统无法验证软件包的来源和完整性，可能会下载到被篡改的软件包，增加了系统被攻击的风险。
• 不符合安全规范：在生产环境中，不建议长期使用这种方法。

六、注意事项

6.1 导入公钥时的注意事项

• 确保公钥来源可靠：一定要从软件源的官方网站或可信的渠道获取公钥文件，避免导入不可信的公钥。
• 检查公钥的有效期：公钥有一定的有效期，过期后需要及时更新。

6.2 关闭验证时的注意事项

• 仅在必要时使用：尽量不要长期关闭 GPG 密钥验证，只在临时解决问题时使用。
• 明确风险：了解关闭验证可能带来的安全风险，并采取其他安全措施来弥补。

七、文章总结

在使用 YUM 进行软件包管理时，GPG 密钥验证失败是一个常见的问题。我们可以通过导入公钥或关闭验证两种方法来解决这个问题。导入公钥是一种安全可靠的方法，建议在大多数情况下使用；而关闭验证虽然操作简单，但会带来较高的安全风险，只建议在临时解决问题时使用。在实际操作中，我们需要根据具体情况选择合适的解决方案，并注意相关的注意事项，以确保系统的安全和稳定。