Как безопасно восстановить исходный код ядра Ubuntu?

Question 1

Да, это возможно! По моему опыту, Ubuntu 16.04 отлично работает с сенсорным экраном и 2 на 1 устройстве. У меня планшет Lenovo X230 и все его функции, в том числе стилус Wacom (и модуль 3G), работают лучше под Ubuntu, чем под Windows. Это странно, потому что устройство «спроектировано» для Windows.

Что-то еще, в Ubuntu я смог решить некоторые небольшие проблемы, которые я не мог решить в Windows, например: Lenovo X230 Таблетка

Вот демо, как мой стилус работает с Gimp: GIMP Чувствительность к давлению. Обратите внимание, что я не установил никаких дополнительных (программных) драйверов, чтобы заставить сенсорные функции работать.

Question 2

Подписан apt-get командой ubuntu?

Ну, файл dsc подписан и содержит хеши файлов, которые нужно загрузить:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Итак, подписанный файл dsc с контрольными суммами tarballs в нем ~

Является ли apt-get подписан командой ubuntu?

Я имею в виду, будет ли мой компьютер проверять подпись при загрузке это?

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Он пытается. apt-get пытается проверить это:

Но в моем случае это не удалось, потому что я еще не импортировал соответствующий ключ. Файлы dsc обычно подписываются разработчиком, который его создал, и AFAICT нет ни одного места, где перечислены все такие ключи. Различные разработчики Ubuntu являются участниками различных групп на Launchpad, а профили Launchpad разработчиков должны перечислять свои ключи GPG. Например, см. [D3] dsc или объединенную команду разработчиков Ubuntu (которая, в свою очередь, включает в себя множество других команд).

Есть ли способ проверить себя подписи с помощью альтернативного метода ?

В этом конкретном случае подписывающим является канонический сотрудник Стефан Бадер. Вы можете извлечь ключ из сервера ключей Ubuntu, но вы можете сделать это с помощью HKPS.

Есть ли способ проверить свою подпись с альтернативой метод?

Для этого можно использовать инструмент для разработчиков .

Question 3

Question 4

Подписан apt-get командой ubuntu?

Ну, файл dsc подписан и содержит хеши файлов, которые нужно загрузить:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Итак, подписанный файл dsc с контрольными суммами tarballs в нем ~

Является ли apt-get подписан командой ubuntu?

Я имею в виду, будет ли мой компьютер проверять подпись при загрузке это?

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Он пытается. apt-get пытается проверить это:

Но в моем случае это не удалось, потому что я еще не импортировал соответствующий ключ. Файлы dsc обычно подписываются разработчиком, который его создал, и AFAICT нет ни одного места, где перечислены все такие ключи. Различные разработчики Ubuntu являются участниками различных групп на Launchpad, а профили Launchpad разработчиков должны перечислять свои ключи GPG. Например, см. [D3] dsc или объединенную команду разработчиков Ubuntu (которая, в свою очередь, включает в себя множество других команд).

Есть ли способ проверить себя подписи с помощью альтернативного метода ?

В этом конкретном случае подписывающим является канонический сотрудник Стефан Бадер. Вы можете извлечь ключ из сервера ключей Ubuntu, но вы можете сделать это с помощью HKPS.

Есть ли способ проверить свою подпись с альтернативой метод?

Для этого можно использовать инструмент для разработчиков .

muru · Answer 1 · 17 July 2018 в 20:30

Подписан apt-get командой ubuntu?

Ну, файл dsc подписан и содержит хеши файлов, которые нужно загрузить:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Итак, подписанный файл dsc с контрольными суммами tarballs в нем ~

Является ли apt-get подписан командой ubuntu?

Я имею в виду, будет ли мой компьютер проверять подпись при загрузке это?

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Он пытается. apt-get пытается проверить это:

Но в моем случае это не удалось, потому что я еще не импортировал соответствующий ключ. Файлы dsc обычно подписываются разработчиком, который его создал, и AFAICT нет ни одного места, где перечислены все такие ключи. Различные разработчики Ubuntu являются участниками различных групп на Launchpad, а профили Launchpad разработчиков должны перечислять свои ключи GPG. Например, см. [D3] dsc или объединенную команду разработчиков Ubuntu (которая, в свою очередь, включает в себя множество других команд).

Есть ли способ проверить себя подписи с помощью альтернативного метода ?

В этом конкретном случае подписывающим является канонический сотрудник Стефан Бадер. Вы можете извлечь ключ из сервера ключей Ubuntu, но вы можете сделать это с помощью HKPS.

Есть ли способ проверить свою подпись с альтернативой метод?

Для этого можно использовать инструмент для разработчиков .

muru · Answer 2 · 23 July 2018 в 21:08

Подписан apt-get командой ubuntu?

Ну, файл dsc подписан и содержит хеши файлов, которые нужно загрузить:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

Format: 1.0
Source: linux
...
Checksums-Sha1:
 180ab617036593212274177eff3a67f437c1b5ea 132860730 linux_4.4.0.orig.tar.gz
 be23819008464f4aa49bed094d19aac086f16572 13880183 linux_4.4.0-112.135.diff.gz
Checksums-Sha256:
 730e75919b5d30a9bc934ccb300eaedfdf44994ca9ee1d07a46901c46c221357 132860730 linux_4.4.0.orig.tar.gz
 b5b6adc87ea98ffa48d31aee2ee5ec301a01c2b4fa64fa20d1564a4e95bdd6ad 13880183 linux_4.4.0-112.135.diff.gz
Files:
 2070b49688e8d7ee7ff4c33590afc698 132860730 linux_4.4.0.orig.tar.gz
 b349ae228d1659789e713b8ff2262eac 13880183 linux_4.4.0-112.135.diff.gz

Итак, подписанный файл dsc с контрольными суммами tarballs в нем ~

Является ли apt-get подписан командой ubuntu?

Я имею в виду, будет ли мой компьютер проверять подпись при загрузке это?

$ apt-get source linux-image-4.4.0-87-generic
Reading package lists... Done
Picking 'linux' as source package instead of 'linux-image-4.4.0-87-generic'
NOTICE: 'linux' packaging is maintained in the 'Git' version control system at:
git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
Please use:
git clone git://git.launchpad.net/~ubuntu-kernel/ubuntu/+source/linux/+git/xenial
to retrieve the latest (possibly unreleased) updates to the package.
Need to get 147 MB of source archives.
Get:1 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (dsc) [9,712 B]
Get:2 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (tar) [133 MB]
Get:3 ftp://ftp.iitb.ac.in//os/ubuntu/archives/ubuntu xenial-security/main linux 4.4.0-112.135 (diff) [13.9 MB]
Fetched 147 MB in 4s (31.8 MB/s)
gpgv: Signature made Fri 19 Jan 2018 17:14:04 IST using RSA key ID CBEECEA3
gpgv: Can't check signature: public key not found
dpkg-source: warning: failed to verify signature on ./linux_4.4.0-112.135.dsc
dpkg-source: info: extracting linux in linux-4.4.0
dpkg-source: info: unpacking linux_4.4.0.orig.tar.gz
dpkg-source: info: applying linux_4.4.0-112.135.diff.gz
dpkg-source: info: upstream files that have been modified:

Он пытается. apt-get пытается проверить это:

Но в моем случае это не удалось, потому что я еще не импортировал соответствующий ключ. Файлы dsc обычно подписываются разработчиком, который его создал, и AFAICT нет ни одного места, где перечислены все такие ключи. Различные разработчики Ubuntu являются участниками различных групп на Launchpad, а профили Launchpad разработчиков должны перечислять свои ключи GPG. Например, см. [D3] dsc или объединенную команду разработчиков Ubuntu (которая, в свою очередь, включает в себя множество других команд).

Есть ли способ проверить себя подписи с помощью альтернативного метода ?

В этом конкретном случае подписывающим является канонический сотрудник Стефан Бадер. Вы можете извлечь ключ из сервера ключей Ubuntu, но вы можете сделать это с помощью HKPS.

Есть ли способ проверить свою подпись с альтернативой метод?

Для этого можно использовать инструмент для разработчиков .

Не могли бы вы лучше объяснить эту страницу поиска? Что это значит? Например, мне нужно проверить этот тег: kernel.ubuntu.com/git/ubuntu/ubuntu-bionic.git/tag/… как мне получить его ключ и проверить его? Также, как проверить, что его ключ подписан командой ubuntu? — Guerlando OCs, 19 February 2018 в 17:49
@GuerlandoOCs копирует эту подпись в файл и запускает gpg. Вы получите что-то вроде этого: paste.ubuntu.com/p/F2cZ9vy77b . Поиск соответствующего ключа: keyserver.ubuntu.com/pks/… , в котором перечислены несколько подписей, и если вы проверите открытый ключ ( keyserver.ubuntu.com/pks/… ), вы увидите, что он действительно содержит несколько пакетов сигнатур: paste.ubuntu.com/p/24BP3RwCQm — muru, 19 February 2018 в 17:57
Теперь, доверяете ли вы этим подписям и как вы будете проверять ключи людей, подписавших это ... Ну, лучше всего, я думаю, лучше всего встретиться с одним из этих людей. — muru, 19 February 2018 в 17:57
См. Также: «пример 1 бис» в irif.fr/~jch/software/pgp-validating.html — muru, 19 February 2018 в 18:01
Итак, теперь я знаю ключ, который подписал его AB4800A62DB9F73A. Я не знаю, что отображается на странице поиска, но я думаю, что это список людей, которые подписали его ключ правильно? Я выполнил gpg -recv 0xab4800a62db9f73a, чтобы получить его ключ, теперь я должен просто проверить тег с git. Следующий шаг будет подтверждать, что этот ключ действительно от него, не так ли? (и подтверждая, что он разработчик или что-то в этом роде). Разве нет подписи от ubuntu, хотя бы подтверждая, что они были частью команды разработчиков или что-то в этом роде? По крайней мере, страница https, в которой перечислены их как devs? — Guerlando OCs, 19 February 2018 в 18:16

Как безопасно восстановить исходный код ядра Ubuntu?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: