BЈо*_*вић 4 package-management security
昨天,当我尝试更新软件包时,收到一条消息,询问我是否要安装未签名的软件包。我单击“否”并停止更新。
今天我更新了所有没有消息的包。
那么,什么是未签名的软件包,我应该安装它们吗?
sudo apt-get update更新包列表,但仍然出现错误你不应该相信未签名的包。从安全的角度来看,签名包意味着制作它的人使用他们拥有的 PGP 密钥说“我创建了这个包,我验证了它的真实性!” 未签名的包是有风险的,因为您不知道开发人员是谁(而您使用签名的包是这样做的)。
更新的另一个问题是,如果您使用 PPA,如果未下载最初签署它们的 PGP 密钥,它可能会将软件包读取为未签名,在这种情况下,您应该确保可以连接到密钥服务器并确保包的签名者在 Ubuntu 密钥服务器中有一个密钥。