Are my guesses correct or am I missing something?
Suas suposições estão corretas.
Is the
rpm --import
... implicitly done for the first two approaches as well
Não, não é. Nenhuma verificação é feita na assinatura GPG do pacote nas duas primeiras abordagens. O pacote contém uma assinatura, mas não contém a chave , portanto, não é realmente possível ser feito automaticamente. Mesmo yum
não importa automaticamente as chaves GPG porque cabe ao administrador aprovar cada chave.
, and if not, isn't it necessary to do so after all?
É uma boa ideia. Mas você precisa obter a chave de algum outro lugar (como instalar um pacote -release
).
Are these additional checks performed by rpm -K ... any relevant?
rpm -K
verifica todas as assinaturas no pacote. Isso inclui somas de verificação (para corrupção não intencional) e assinatura de GPG, se presente, para verificação de autenticidade. As checagens são verificadas ao instalar o pacote, mas a assinatura do GPG é sua.
What is the best (most secure, most reliable, most maintainable, ...) way of installing packages via rpm in general?
Use yum
. Você pode usar yum
para instalar um pacote baixado também. Quando você wget
do arquivo e rpm --import
da chave, você pode yum install epel-release-6-7.noarch.rpm
o arquivo baixado do disco local.