Linux apt-key与rpm --import命令详解

答案：apt-key和rpm --import用于导入GPG密钥以验证软件包来源，前者适用于Debian系但已弃用，推荐将密钥文件置于/usr/share/keyrings/并显式引用；后者用于Red Hat系，通过rpm --import导入密钥至RPM密钥环，两者均需谨慎操作以确保系统安全。

在Linux系统中，软件包的安全性至关重要。为了确保安装的软件来自可信源，包管理器使用GPG密钥对软件仓库进行签名验证。Debian系系统使用apt-key，而RHEL/CentOS/Fedora等Red Hat系系统则使用rpm --import命令来导入这些信任的GPG密钥。下面详细介绍这两个命令的作用、用法及注意事项。

apt-key：Debian/Ubuntu中的密钥管理

注意：apt-key命令已被官方标记为过时（deprecated），推荐使用更安全的方式管理密钥。

apt-key用于管理APT包管理系统所信任的GPG密钥。它允许你添加、列出或删除用于验证软件源签名的公钥。

常见用法：

• 导入密钥：从文件或标准输入导入GPG密钥
  wget -qO - https://example.com/key.gpg | sudo apt-key add -
• 列出已导入的密钥：
  sudo apt-key list
• 删除某个密钥：
  sudo apt-key del <key-id>

当前推荐替代方法：
现代Debian/Ubuntu系统建议将密钥以独立文件形式存放在/usr/share/keyrings/目录下，并在source.list中明确引用。例如：

这种方式避免了全局密钥环污染，提升了安全性。

rpm --import：RHEL/CentOS/Fedora中的密钥导入

RPM包管理系统通过GPG签名验证软件包完整性。rpm --import用于将可信的GPG公钥导入系统的RPM密钥环。

DES加密解密

DES加密解密

60

查看详情

常用操作：

• 导入密钥：
  sudo rpm --import https://repo.example.com/RPM-GPG-KEY-example
• 查看已安装的GPG密钥：
  rpm -q gpg-pubkey
• 验证某软件包是否正确签名：
  rpm -K package.rpm

通常，在首次启用第三方仓库（如EPEL、Docker、MySQL等）时，系统会提示你需要导入相应的GPG密钥。Red Hat系列发行版预置了一些官方密钥，第三方需手动导入。

安全注意事项

无论是apt-key还是rpm --import，都涉及系统级信任机制，必须谨慎对待。

• 只从官方渠道获取GPG密钥，避免中间人攻击。
• 导入前可检查密钥指纹：
  gpg --dry-run --import --import-options show-only key.gpg
• 定期审查已信任的密钥列表，移除不再使用的密钥。
• 避免使用不带验证的管道操作（如curl | sh），同样也不应盲目执行wget | sudo apt-key add -。

基本上就这些。虽然两个命令功能相似，但所属生态系统不同，使用方式也反映了各自的设计理念。理解它们的工作原理有助于更好地维护系统安全与稳定性。

以上就是Linux apt-key与rpm --import命令详解的详细内容，更多请关注php中文网其它相关文章！