パッケージの整合性の検証には、パッケージの署名の検証が含まれます。この手順では、有効かつセキュアなパッケージリポジトリが保持されていることを前提にしています。サマリーについては、ローカル IPS リポジトリからのセキュアなパッケージのインストールの確認を参照してください。手順については、Oracle Solaris 11.3 パッケージリポジトリのコピーと作成を参照してください。
始める前に
IPS リポジトリおよびパッケージを管理するには、権利を持つ管理者になる必要があります。必要な権利については、Oracle Solaris 11.3 パッケージリポジトリのコピーと作成 の リポジトリ管理の特権を参照してください。
この例では、管理者がデフォルトの署名ポリシーを ignore に明示的に変更しています。これには、すべてのマニフェストの署名を無視する効果があります。
$ pkg property signature-policy PROPERTY VALUE signature-policy ignore $ pkg publisher ... Properties: signature-policy = ignore
使用可能なポリシーは次のとおりです。
verify – 署名が含まれているすべてのマニフェストが有効に署名されていることを確認しますが、インストール済みパッケージがすべて署名されている必要はありません。
require-signatures – 新しくインストールされたすべてのパッケージに、有効な署名が少なくとも 1 つ含まれている必要があります。
require-names – require-signatures と同じ要件に従いますが、signature-required-names プロパティーで一覧表示される文字列が署名の信頼のチェーンを検証するためにも使用される必要があります。
次のコマンドは、イメージの署名ポリシーを ignore からデフォルトの verify に変更します。
$ pkg set-property signature-policy verify
パブリッシャーは、そのパブリッシャーの値が明示的に変更されないかぎり、署名ポリシーをイメージから継承します。たとえば、パッケージが常に署名されるパブリッシャーには verify より強力なポリシーを設定することもできます。
$ pkg set-publisher --set-property signature-policy=require-signatures solaris $ pkg -publisher solaris Publisher: solaris ... Catalog Updated: Feb 8, 2015 02:01:01 AM Enabled: Yes Properties: signature-policy = require-signatures
# pkg verify > /var/log/filename
詳細は、Oracle Solaris 11.3 ソフトウェアの追加と更新 の パッケージの検証と検証エラーの修正を参照してください。