YUM源HTTPS协议配置教程 解决HTTP源不安全/被拦截问题 配置GPG证书与HTTPS镜像源

一、背景介绍

在使用 Linux 系统的时候，咱们经常会用到 YUM（Yellowdog Updater, Modified）来安装、更新软件包。不过呢，传统的 HTTP 源存在一些问题，比如不安全，数据在传输过程中容易被拦截和篡改，就好像你寄一封信，这封信在路上可能被别人拆开看了，甚至还被修改了内容。而 HTTPS 协议就好多了，它能对数据进行加密传输，保证数据的安全性，就像给你的信加了个加密的信封，只有收件人能打开。所以啊，我们有必要把 YUM 源配置成 HTTPS 协议。

二、应用场景

1. 企业内部网络：企业对数据安全要求比较高，使用 HTTP 源可能会让敏感信息泄露。比如一家金融公司，他们在更新服务器上的软件时，如果用 HTTP 源，数据就可能被窃取，导致公司的财务信息等重要数据丢失。这时候就需要配置 HTTPS 源，确保数据传输安全。
2. 公共网络环境：在咖啡馆、机场等公共网络中，由于网络环境复杂，使用 HTTP 源很容易被中间人攻击。比如你在咖啡馆用笔记本更新系统软件，HTTP 源的数据传输可能会被咖啡馆里的不法分子拦截，他们就可能获取你的个人信息。配置 HTTPS 源就能避免这种情况。

三、技术优缺点

优点

1. 安全性高：HTTPS 协议通过加密和身份验证机制，能有效防止数据被窃取和篡改。就像前面说的，给数据加了个加密信封，别人打不开也改不了。
2. 避免被拦截：在一些网络环境中，HTTP 源可能会被防火墙或者网络管理员拦截。而 HTTPS 源相对来说更不容易被拦截，保证软件包的正常下载和更新。

缺点

1. 配置复杂：相比 HTTP 源，配置 HTTPS 源需要额外的步骤，比如配置 GPG 证书等。这对于一些新手来说可能有点困难。
2. 性能影响：由于加密和解密过程，HTTPS 源在数据传输时可能会比 HTTP 源稍微慢一些。不过这个影响通常比较小，在大多数情况下可以忽略不计。

四、配置前的准备

1. 确认系统版本：不同的 Linux 系统版本在配置 YUM 源时可能会有一些细微的差别。比如 CentOS 7 和 CentOS 8 的配置方法就不完全一样。你可以通过以下命令查看系统版本：

# 技术栈：Shell
cat /etc/redhat-release  # 适用于 Red Hat 系的系统，如 CentOS

2. 获取 GPG 证书：GPG 证书用于验证软件包的完整性和真实性。你可以从软件源的官方网站上下载对应的 GPG 证书。例如，如果你使用的是阿里云的 YUM 源，就可以从阿里云的官方文档中找到 GPG 证书的下载地址。
3. 选择合适的 HTTPS 镜像源：国内有很多不错的 HTTPS 镜像源，比如阿里云、清华大学等。你可以根据自己的网络情况选择一个速度快的镜像源。

五、配置 GPG 证书

1. 下载 GPG 证书：以阿里云的 CentOS 7 镜像源为例，我们可以使用以下命令下载 GPG 证书：

# 技术栈：Shell
wget http://mirrors.aliyun.com/centos/RPM-GPG-KEY-CentOS-7  # 下载 GPG 证书

2. 导入 GPG 证书：下载完成后，使用以下命令将证书导入系统：

# 技术栈：Shell
rpm --import RPM-GPG-KEY-CentOS-7  # 导入 GPG 证书

3. 验证证书：可以使用以下命令验证证书是否导入成功：

# 技术栈：Shell
rpm -q gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE}\t%{SUMMARY}\n'  # 查看已导入的 GPG 证书

六、配置 HTTPS 镜像源

1. 备份原有的 YUM 源配置文件：在修改 YUM 源配置之前，最好先备份原有的配置文件，以防出现问题可以恢复。

# 技术栈：Shell
cp /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup  # 备份 CentOS 的基础 YUM 源配置文件

2. 修改 YUM 源配置文件：打开配置文件，将原有的 HTTP 源地址替换为 HTTPS 源地址。以阿里云的 CentOS 7 镜像源为例：

# 技术栈：Shell
vi /etc/yum.repos.d/CentOS-Base.repo  # 打开配置文件

在文件中找到类似以下的内容：

#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os

将其修改为：

baseurl=https://mirrors.aliyun.com/centos/$releasever/os/$basearch/
#mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo=os

保存并退出文件。

3. 清除 YUM 缓存并重新生成：修改配置文件后，需要清除 YUM 缓存并重新生成，让新的配置生效。

# 技术栈：Shell
yum clean all  # 清除 YUM 缓存
yum makecache  # 重新生成 YUM 缓存

七、注意事项

1. 证书的有效期：GPG 证书是有有效期的，过期后需要及时更新。你可以查看证书的有效期信息，在快过期的时候提前下载新的证书并导入。
2. 网络问题：配置 HTTPS 源时，要确保网络连接正常。如果网络不稳定，可能会导致证书下载失败或者 YUM 源配置失败。
3. 防火墙设置：有些防火墙可能会阻止 HTTPS 连接，需要检查防火墙设置，确保允许 HTTPS 流量通过。

八、文章总结

通过配置 YUM 源的 HTTPS 协议，我们可以解决 HTTP 源不安全和被拦截的问题。虽然配置过程相对复杂一些，需要配置 GPG 证书和修改 YUM 源配置文件，但能大大提高数据传输的安全性。在配置过程中，要注意证书的有效期、网络问题和防火墙设置等。希望这篇教程能帮助大家顺利完成 YUM 源的 HTTPS 协议配置。