... Ein zypper ref -s hat nun anscheinend einen Schlüssel importiert. Damit ist die Meldung nun weg ... Kann ich irgendwo nachlesen wie ich die Schlüssel auslesen und mit einer vertrauenswürdigen Quelle vergleichen kann? Bernd Am 02.05.24 um 10:08 schrieb bnacht:
Hi,
zwei Rechner, beide Leap 15.5:
Bei einem bekomme ich die Meldung: Signature verification failed for file 'repomd.xml' from repository ...
Die URL dazu lautet dort: http://cdn.opensuse.org/update/leap/15.5/sle
beim anderen Rechner lautet die entsprechende URL: http://download.opensuse.org/update/leap/15.5/sle/ Hort bekomme ich diese Meldung nicht.
Die URL zeigen wohl auf unterschiedliche Hosts. # dig +short cdn.opensuse.org dualstack.n.sni.global.fastly.net. 146.75.121.91 # dig +short download.opensuse.org download1.opensuse.org. 195.135.223.226 #
Irgendwie möchte ich die Meldung nicht ignorieren. (-> SupplyChain Attack) Umbauen auf download.opensuse.org wäre ja kein Aufwand, würde aber den wohl stattfindenden Umbaumaßnahmen bei openSUSE zuwider laufen.
Irgendwelche Empfehlungen?
Bernd