第2章:【VPS初期構築ガイド②】GPG署名エラーの仕組みと安全なパッケージ更新(dnf/rpmの信頼モデル)
(AlmaLinux 10/X-SERVER VPS対応)
VPS を立ち上げた直後にまず行うべき作業の 1 つが GPG キー(パッケージ署名鍵)の更新です。
これを実施しないと、dnf update 実行時に以下のような 署名エラーが発生し、
パッケージ更新が停止することがあります。
warning: Header V4 RSA/SHA256 Signature, key ID ****: NOKEY
Public key for ... is not installed
これは危険というより「署名情報が古いため検証できない」という意味です。
まずは正しい鍵を登録し、システムが公式パッケージを“信用できる状態”へ戻します。
⚙️ 前提条件
このシリーズは、初心者向けに必要最小限の内容でまとめています。
- 対応環境:AWS・さくらのVPS・X-SERVER VPSなど主要環境で再現可能
- 前提知識:Linuxの基本コマンドとvi操作を理解していること
- 想定ユーザー:Windowsユーザー(Macの場合はクライアント側の用語や実行コマンドが一部異なりますが、サーバー操作は同じ手順で実施可能)
💡 参考記事
基礎操作が不安な方は、こちらを先にチェックしておくと理解がスムーズです👇
👉 難しくない、慣れれるだけ!VPSで始めるLinuxサーバーの構築前に覚える基本コマンドとviの使い方
👉 前章:第1章:【VPS初期構築ガイド①】立ち上げ直後に必ず行う5つの初期整備
作業を始める前に
サーバーを契約時にrootパスワードや公開鍵が入手できます。
それらを使って、ターミナル(CUIでサーバを操作するアプリ)を立ち上げて接続してみましょう。
作業は全てターミナル上で行うことを前提として説明を進めます。
1.GPGキーを更新する(署名エラー対策の核心)
まずはキャッシュをクリアし、AlmaLinux 10 の GPG キーを取り込みます。
sudo dnf clean all
sudo dnf makecache
sudo rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-AlmaLinux-10
sudo dnf install -y epel-release
なぜ GPG キーは古くなるのか?
| 理由 | 内容 |
|---|---|
| 🔁 鍵の定期ローテーション | 数年ごとに新しい鍵へ入れ替える |
| 🔐 鍵の漏えい・事故対応 | 鍵の流出や不整合時に即入れ替え |
| 🧩 OS メジャーバージョン更新 | AlmaLinux 8 / 9 / 10 で鍵が異なる |
2.登録済み GPG キーの確認方法
sudo gpg --show-keys --keyid-format long /etc/pki/rpm-gpg/RPM-GPG-KEY-AlmaLinux-10
sudo rpm -qa gpg-pubkey --qf '%{NAME}-%{VERSION}-%{RELEASE} %{SUMMARY}
'
3.GPG 鍵に関する“よくある誤解”
| 誤解 | 実際はこう |
|---|---|
| 鍵が古い=危険 | 危険ではなく 更新されただけ |
| 鍵エラー=攻撃されている | 攻撃ではなく 署名の不整合 |
| AlmaLinux に問題がある | OS の問題ではなく RPM の仕組み |
| 初期設定だけやれば十分 | 鍵は 数年ごとに入れ替わる |
まとめ
- GPG 署名エラーは “危険” ではない
- 正しく鍵を更新すれば解決
- AlmaLinux/EPEL は定期的に鍵が更新される
- 運用期間が長いと再度鍵更新が必要な場合もある