我看到很多有趣的程序只能通过向系统添加“PPA”来获得,但是,如果我理解正确,我们应该留在官方“存储库”中以将软件添加到我们的系统中。
新手有什么方法可以知道“PPA”是否安全或是否应该避免?用户在处理 PPA 时应该了解哪些提示?
我经常遇到这个问题,总是不得不谷歌寻找答案。有没有人有永久修复 BADSIG 错误的方法apt-get?
W:GPG 错误:http : //download.virtualbox.org lucid 发布:以下签名无效:BADSIG 54422A4B98AB5139 Oracle Corporation(VirtualBox 存档签名密钥)
所以前几天我在浏览网页,我遇到了一些要我下载.deb文件的地方 - 由于这些是由 root 安装的(因此具有 root 的“权力”和能力),我不是确定。
(所以这个问题对更多人更有用)
在一个Ubuntu/debian 风格的包(*.deb 文件)里面有一个名为的文件
/DEBIAN/md5sums,它的内容是这样的:
212ee8d0856605eb4546c3cff6aa6d35 usr/bin/file1 4131b66dc3913fcbf795159df912809f path/to/file2 8c21de23b7c25c9d1a093607fc27656a path/to/file3 c6d010a475366e0644f3bf77d7f922fd path/to/place/of/file4
我假设这个文件将用于检查包附带的文件是否以某种方式损坏。由于该文件名为“/DEBIAN/md5sums”,我假设路径+文件名之前的十六进制数是包文件的MD5 消息摘要算法哈希。
现在感兴趣的人都知道,MD5 Hash 早就被破解了。因此,完全有可能更改包中文件的内容(例如,恶意地)并且仍然具有具有相同 MD5-Hash 的文件(参见例如概念证明“预测获胜者....”)。
考虑到上述信息,我想知道以下内容:
**假设我在我的 Ubuntu 系统中安装了一个包。是DEBIAN/md5sums确保数据不被篡改的唯一方法吗?**
回答这个问题我认为它可以帮助弄清楚以下几点:
DEBIAN/md5sums可以确保文件的完整性,那么 *.deb 包中包含的文件是什么?不幸的是,我也不知道。
任何可以阐明问题(甚至只是一个子问题)的回复都非常受欢迎
(1) https://help.ubuntu.com/community/Repositories/Ubuntu#Authentication_Tab似乎表明有(正如我所希望的)一些公共/私有 gpg 密钥正在进行中(以保持 repos 和包系统)安全从攻击。不过,链接位置的信息不是很多。它几乎没有说明包系统的安全方面。无论如何,我假设该链接已经表明该问题的答案将是“否 - 至少来自 repo 的 deb 包 - 也受到......”的保护。希望有人有一些见解可用于此处的答案。
(2) 这个问题似乎也是关于Ubuntu包系统中的“安全性”的话题。所以我只是在这里添加它,以便如果有人努力解决这个问题:为什么建议的 BADSIG(在 apt-get 更新上)修复是安全的?