比如,我现在用的源是ubuntu.cn99.com。
但如何知道它是可信任的,也就是说它和官方服务器的内容是一致的,没有被恶意修改?
apt-get可以自动判断一个源上的软件包是否与官方的一致吗,否则如果源上的东西被非法修改了,岂不是很不安全?
谢谢!
[问题]如何知道“源”是可信任的?
转帖:
我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:
--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1
c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso
--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............
这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?
我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:
--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1
c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso
--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............
这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?
-
freeflying
- 论坛版主
- 帖子: 521
- 注册时间: 2005-03-26 9:38
- 送出感谢: 0
- 接收感谢: 0
Re: [问题]如何知道“源”是可信任的?
有任何改动都会报错iclinux 写了:比如,我现在用的源是ubuntu.cn99.com。
但如何知道它是可信任的,也就是说它和官方服务器的内容是一致的,没有被恶意修改?
apt-get可以自动判断一个源上的软件包是否与官方的一致吗,否则如果源上的东西被非法修改了,岂不是很不安全?
谢谢!
把某些文件非法修改了,然后也修改对应文件的MD5值后是不是就成了“合法”的了?
在windows下,很多文件都有数字签名的,没有根证书的话没法修改成“合法”的。
在windows下,很多文件都有数字签名的,没有根证书的话没法修改成“合法”的。
bcnfish 写了:转帖:
我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:
--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1
c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso
--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............
这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?