[问题]如何知道“源”是可信任的?

系统安装、升级讨论
版面规则
我们都知道新人的确很菜,也喜欢抱怨,并且带有浓厚的Windows习惯,但既然在这里询问,我们就应该有责任帮助他们解决问题,而不是直接泼冷水、简单的否定或发表对解决问题没有任何帮助的帖子。乐于分享,以人为本,这正是Ubuntu的精神所在。
回复
iclinux
帖子: 17
注册时间: 2006-06-07 13:55

[问题]如何知道“源”是可信任的?

#1

帖子 iclinux » 2006-06-20 11:13

比如,我现在用的源是ubuntu.cn99.com。
但如何知道它是可信任的,也就是说它和官方服务器的内容是一致的,没有被恶意修改?
apt-get可以自动判断一个源上的软件包是否与官方的一致吗,否则如果源上的东西被非法修改了,岂不是很不安全?

谢谢!
cosquidz
帖子: 507
注册时间: 2006-06-19 12:17
来自: 香山县

#2

帖子 cosquidz » 2006-06-21 14:08

才不会顾虑这些
我还用 日本 的源呢
头像
lyreopera
帖子: 771
注册时间: 2005-05-23 13:38
来自: gdsz

#3

帖子 lyreopera » 2006-06-21 14:29

这个问题有意思……

只是我想不出这么做的理由是什么- -!
……
bcnfish
帖子: 10
注册时间: 2006-05-18 15:02

#4

帖子 bcnfish » 2006-06-21 14:30

转帖:

我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:

--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1

c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso

--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............

这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?
头像
freeflying
帖子: 521
注册时间: 2005-03-26 9:38

Re: [问题]如何知道“源”是可信任的?

#5

帖子 freeflying » 2006-06-21 18:36

iclinux 写了:比如,我现在用的源是ubuntu.cn99.com。
但如何知道它是可信任的,也就是说它和官方服务器的内容是一致的,没有被恶意修改?
apt-get可以自动判断一个源上的软件包是否与官方的一致吗,否则如果源上的东西被非法修改了,岂不是很不安全?

谢谢!
有任何改动都会报错
图片
iclinux
帖子: 17
注册时间: 2006-06-07 13:55

#6

帖子 iclinux » 2006-06-22 15:31

把某些文件非法修改了,然后也修改对应文件的MD5值后是不是就成了“合法”的了?
在windows下,很多文件都有数字签名的,没有根证书的话没法修改成“合法”的。
bcnfish 写了:转帖:

我们的LINUX系统中,系统商(distribution)为了怕有心人士修改他们推出的文件,因此都会提供所谓的MD5软件指纹验证功能.例如,南台湾最大的FTP学术网站"中山大学"的FTP网站中的RED HAT7.3可引导光盘的完整套件,在该目录下,除了完整的可引导光盘的映象文件外.还会附上一个名为MD5SUM的文件,这个文件的内容类似下面这样:

--------BEGIN PGP SIGNED MESSAGE------
Hash:SHA1

c9a4d963a49e384e10dec9c2bd49ad73 valhalla-SRRMS-disc1.iso
.............................................................. valhalla-SRRMS-disc2.iso
.............................................................. valhalla-i386-disc1.iso
.............................................................. valhalla-i386-disc2.iso
.............................................................. valhalla-i386-disc3.iso

--------------------BEGIN PGP SIGNATURE----------
Version:GnuPG v1.0.6(GNU/lLinux)
Comment:For info see http://www.gnupg.org
............

这表明在valhalla0i386-disc1.iso文件中,有个MD5SUM文件指纹表,如果该文件是原开发厂商提供的文件(没有被修改过),则以MD5SUM程序进行检验时,会得到左边的指纹表,否则,你下载的这个文件就不是原厂商提供的,你能保证你的文件内容没有安全问题吗?
回复