当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [问题]如何知道“源”是可信任的?
帖子发表于 : 2006-06-20 11:13 

注册: 2006-06-07 13:55
帖子: 17
送出感谢: 0 次
接收感谢: 0 次
比如,我现在用的源是ubuntu.cn99.com。
但如何知道它是可信任的,也就是说它和官方服务器的内容是一致的,没有被恶意修改?
apt-get可以自动判断一个源上的软件包是否与官方的一致吗,否则如果源上的东西被非法修改了,岂不是很不安全?

谢谢!


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2006-06-21 14:08 

注册: 2006-06-19 12:17
帖子: 507
地址: 香山县
送出感谢: 0 次
接收感谢: 0 次
才不会顾虑这些
我还用 日本 的源呢


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2006-06-21 14:29 
头像

注册: 2005-05-23 13:38
帖子: 771
地址: gdsz
送出感谢: 0 次
接收感谢: 0 次
这个问题有意思……

只是我想不出这么做的理由是什么- -!


_________________
……


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2006-06-21 14:30 

注册: 2006-05-18 15:02
帖子: 10
送出感谢: 0 次
接收感谢: 0 次
转帖:

我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:

--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1

c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso

--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............

这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?


页首
 用户资料  
 
5 楼 
 文章标题 : Re: [问题]如何知道“源”是可信任的?
帖子发表于 : 2006-06-21 18:36 
头像

注册: 2005-03-26 9:38
帖子: 521
送出感谢: 0 次
接收感谢: 0 次
iclinux 写道:
比如,我现在用的源是ubuntu.cn99.com。
但如何知道它是可信任的,也就是说它和官方服务器的内容是一致的,没有被恶意修改?
apt-get可以自动判断一个源上的软件包是否与官方的一致吗,否则如果源上的东西被非法修改了,岂不是很不安全?

谢谢!

有任何改动都会报错


_________________
图片


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2006-06-22 15:31 

注册: 2006-06-07 13:55
帖子: 17
送出感谢: 0 次
接收感谢: 0 次
把某些文件非法修改了,然后也修改对应文件的MD5值后是不是就成了“合法”的了?
在windows下,很多文件都有数字签名的,没有根证书的话没法修改成“合法”的。

bcnfish 写道:
转帖:

我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:

--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1

c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso

--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............

这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:Google [Bot] 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译