DPKG поддерживает для проверки подписи GPG для файлов пакета Debian?
Я пытаюсь включить проверку GPG в /etc/dpkg/dpkg.cfg удаляют no-debsig в этом конфигурационном файле:
.# Do not enable debsig-verify by default; since the distribution is not using embedded signatures, debsig-verify would reject all packages.
.# no-debsig
Затем я пытался загрузить и установить некоторые неподписанные .deb файлы на моем сервере Ubuntu, но я могу установить их как нормальных без любого действия (отклонение, предупредив) после.
Таким образом, мой вопрос: Принятие я загрузил .deb файл с Интернета затем, я петляю dpkg -i устанавливать его, как проверить, является ли это от надежного источника или нет? Я использую сервер Ubuntu 16.04.Спасибо!
1 ответ
Короткий ответ: Нет, dpkg не поддерживает проверку подписи. Также No, потому что такие подписи являются плохой мерой степени доверия в сценарии, который Вы описываете.
Ни dpkg, ни склонный не может решить, является ли источник надежным источником. Как человек, это - Ваше задание, чтобы решить, достоин ли источник Вашего доверия или нет. Нет никакого волшебного маркера степени доверия, который только выпущен хорошими интернет-эльфами. (И если было, как Вы могли сказать, что это не была умная фальшивка? Подлецы могут подписать файлы, также),
НИКОГДА не добавляйте источник к Кв., которой Вы не доверяете. Кв. зависит от Вас для принятия мудрых решений.
Дистрибутивы управляют цепочкой доверия из восходящего источника, создавая и подписывая пакеты. Это - одна причина, что мудрый выбор дистрибутива важен. Правильный дистрибутив имеет программное обеспечение, в котором Вы нуждаетесь, таким образом, Вы не идете, блуждая через Интернет (неправильное) измерение доверия всего программного обеспечения, Вы собираетесь из каждого сайта
Кв. проверяет, что пакеты из Ваших авторизованных источников не повреждают, ни заменяют во время загрузки на Вас. Кв. отслеживает источники и зависимости. Кв. НЕ измеряет степень доверия.
Dpkg просто устанавливает любую Кв., говорит, что он для установки, и в склонном порядке диктует. Dpkg раньше использовал debsigs, длинный вышедший из употребления ранний метод подписи. Сегодня, dpkg делает все виды проверки..., но в файловой системе и в пакете и на своем собственном функционировании.
Если Вы говорите, что dpkg для установки deb полного из вредоносного программного обеспечения dpkg сделает точно, что Вы дали этому команду делать. Dpkg похож на тостер - можно неправильно использовать тостер и сжечь дом дотла. dpkg разработчики полагают, что безумие человеком - обходом мер защиты человеческой чувствительности, дистрибутива, и/или склонный - является человеческой проблемой, не dpkg ошибкой.
РАССМОТРИТЕ ТЩАТЕЛЬНО добавляющие пакеты не-Ubuntu. Они могли бы повредить Вашу систему. Они не поддерживаются здесь.
Примечание: debsigs являются ранним и длинным вышедшим из употребления методом подписи, встроенным в dpkg. Они были заменены давным-давно дистрибутивами и склонные.