<p>On 05/05/2011 9:58 AM, &quot;Chris Ball&quot; &lt;<a href="mailto:cjb@laptop.org">cjb@laptop.org</a>&gt; wrote:<br>
&gt; There&#39;s interest, but it&#39;s more complicated than you think.  As I<br>
&gt; understand it, customization sticks can be signed and run in secure mode<br>
&gt; because they perform no side-effects outside of /home.  However, an RPM<br>
&gt; can have a %post section which lists commands to be run *as root* during<br>
&gt; the installation.<br>
&gt;<br>
&gt; So, offering the ability to install RPMs via signed customization stick<br>
&gt; is equivalent to letting anyone run any series of commands as root.<br>
&gt;<br>
&gt; There may be ways to mitigate this risk, such as refusing to run any<br>
&gt; %post scripts (some of which are necessary for proper function of<br>
&gt; packages).  Working out what the safe set of actions a hostile RPM<br>
&gt; can perform on a system is a research project, as far as I know.</p>
<p>Can we make it so that it only installs signed RPMs? Would that help?</p>
<p>Sridhar</p>