Критерии доверия к сторонним репозиториям

Даже если разработчик не был злонамеренным, ставить пакеты оттуда я не рекомендую. Просто потому что он не потрудился соблюсти стандарты типа FHS и лицензии типа GPL (не предоставил исходники и spec-файлы).

А вот в генту подобных проблем не возникает.

что делать если нужно свежие версии поставить? использовать checkinstall на случай удаления? или самому создавать rpm?

почему? в redhat тоже можно самому собрать.

Насколько я понял из описания, там тоже самое что в EPEL'е, только с расширенным набором патчей+новые версии. Как вариант (раз уж такой параноик) - бери за основу EPEL и изменяй под свои нужды.

epel это же репозиторий а не пересобиральщик rpm.

если мне нужно пересобрать с своими ключами весь вебсерверный софт, то как правильно такую задачу решить?

epel это же репозиторий а не пересобиральщик rpm.

Что, правда?

если мне нужно пересобрать с своими ключами весь вебсерверный софт

Мне всегда казалось, что на этот счет в RH лучше знают. Ну если надо, то читай это, бери сорцы и делай.

Как правило, от версии к версии в программах изменения идут плавно, так что почти всегда можно взять новую версию, адаптировать под нее SPEC и пересобрать RPM. Ну и если повезет, под CentOS можно собрать SRPM от взятый с федоры, а там все свежее, прямо с огорода :-)

а если нужна не новая версия, а котороая уже есть в rpm, но ее нужно пересобрать с другими ключами, то путь такой же как и при создании свего rpm?

Верно.
rpm -i XXX.srpm
cd /usr/src/redhat/SPECS
vi xxx.spec
rpmbuild -ba xxx.spec
rpm -i ../RPMS/$ARCH/xxx.rpm

Если лично с владельцем не знаком - не надо.

Именно поэтому в этом плане, по крайней мере пока, хорош Альт. Рядовой пользователь не найдёт сторонние репы, а альтовец с н-летним стажем знает все 2,5 сторонних микрорепозитория и их майнтейнеров

>если мне нужно пересобрать с своими ключами весь вебсерверный софт

если все так серьезно, может стоило что-нибудь source-based поставить?

фрибсд?

а почему бы и нет, учитывая, что это веб-сервер