パッケージの検証方法

言語:

パッケージの整合性の検証には、パッケージの署名の検証が含まれます。この手順では、有効かつセキュアなパッケージリポジトリが保持されていることを前提にしています。サマリーについては、ローカル IPS リポジトリからのセキュアなパッケージのインストールの確認を参照してください。手順については、Oracle Solaris 11.3 パッケージリポジトリのコピーと作成を参照してください。

始める前に

IPS リポジトリおよびパッケージを管理するには、権利を持つ管理者になる必要があります。必要な権利については、Oracle Solaris 11.3 パッケージリポジトリのコピーと作成 のリポジトリ管理の特権を参照してください。

パッケージの署名をチェックしていることを確認します。
1. イメージおよびパブリッシャーの署名ポリシーを表示します。
  この例では、管理者がデフォルトの署名ポリシーを ignore に明示的に変更しています。これには、すべてのマニフェストの署名を無視する効果があります。
```
$ pkg property signature-policy
PROPERTY             VALUE
signature-policy     ignore
$ pkg publisher
...
           Properties:
                      signature-policy = ignore
```
2. 署名ポリシーが実装しようとしている値より弱い値に設定されている場合は、そのポリシーを変更します。
  - verify – 署名が含まれているすべてのマニフェストが有効に署名されていることを確認しますが、インストール済みパッケージがすべて署名されている必要はありません。
  - require-signatures – 新しくインストールされたすべてのパッケージに、有効な署名が少なくとも 1 つ含まれている必要があります。
  - require-names – require-signatures と同じ要件に従いますが、signature-required-names プロパティーで一覧表示される文字列が署名の信頼のチェーンを検証するためにも使用される必要があります。
  次のコマンドは、イメージの署名ポリシーを ignore からデフォルトの verify に変更します。
```
$ pkg set-property signature-policy verify
```
3. (オプション) solaris パブリッシャーのより強力な署名ポリシーを確立し、新しいポリシーを表示します。
  パブリッシャーは、そのパブリッシャーの値が明示的に変更されないかぎり、署名ポリシーをイメージから継承します。たとえば、パッケージが常に署名されるパブリッシャーには verify より強力なポリシーを設定することもできます。
```
$ pkg set-publisher --set-property signature-policy=require-signatures solaris
$ pkg -publisher solaris
            Publisher: solaris
...
      Catalog Updated: Feb 8, 2015  02:01:01 AM
              Enabled: Yes
           Properties:
                       signature-policy = require-signatures
```
パッケージのインストール後、インストールウィンドウ内のすべてのエラーメッセージに対して適切なアクションを実行します。
pkg verify コマンドを実行し、その結果をログファイルに送信します。
```
# pkg verify > /var/log/filename
```
詳細は、pkg(1) および pkg(5) のマニュアルページを参照してください。
エラーがないかどうかログをレビューします。
エラーが見つかった場合は、再インストールするか、またはエラーを修正します。
詳細は、Oracle Solaris 11.3 ソフトウェアの追加と更新 のパッケージの検証と検証エラーの修正を参照してください。