我今天继续下载一个应用程序。它逐步列出了它的说明,第一个是:添加一个带有apt-key. 随后将应用程序添加到 apt/sources 并最终使用apt-get install.
在将 URL 添加到源之后下载应用程序之前,我无法理解添加密钥的需要。
为什么apt-key在将下载 URL 添加到 apt/sources 和下载安装之前需要添加 GPG 密钥with apt-get install?
为什么在将下载 URL 添加到 apt/sources 并使用 apt-get install 下载安装之前,我需要使用 apt-key 添加 GPG-key?
原因很简单:安全。
首先,如果您不这样做,apt-get update则会抱怨找不到某些密钥,并且它下载了“不受信任的”软件包列表。如果你这样做,apt-get install它会用大写字母问你两次,你正在从不受信任的来源安装软件包。对于任何用户来说,这个警告都会令人震惊(如果他们阅读了它们),所以为了防止“如何解决'NOPUBKEY'找到”和类似的问题,存储库所有者通常在开始之前包括如何添加他们的密钥,这样用户就不会错过这个步。
其次,如果您错过了这一步而忽略了警告,则安全性是不完整的。您从未经验证的站点下载了一些软件包列表。任何破解都可能被某人利用,然后诱使您安装恶意软件。如果您从一开始就添加了密钥,您将与存储库维护者进行从头到尾的安全事务。
第三,当您添加密钥时,意味着您信任该密钥。你说你信任用那个密钥识别自己的人的系统,你想从他那里安装软件。
| 归档时间: |
|
| 查看次数: |
2569 次 |
| 最近记录: |