[FZH] yum 更新时的是否进行了安全验证验证?
Yuan Yijun
bbbush.yuan at gmail.com
Tue Nov 6 20:59:16 UTC 2012
rpm -V 没有输出表示没有任何修改。
2012/11/6 toknot xiao <chopins.xiao在gmail.com>:
> 我使用rpm -V fedora-release 没有任何输出
> 原来的KEY是否有效也不知道了
>
>
> 在 2012年11月7日 上午2:20,Yuan Yijun <bbbush.yuan在gmail.com>写道:
>
>> GPG 是需要自己验证的吧?假设你装 Fedora 的时候,验证过 ISO 的 SHA-1 的 GPG
>> 签名(https://fedoraproject.org/en/verify 写着,这一步的 gpg key 是通过 https
>> 下载的),那么之后安装软件包的时候,只要用 rpm -V fedora-release 验证一下预装的 key 是不是可信。如果你觉得预装的
>> key 没有问题,那么 yum 提示安装软件包、导入 key 的时候就不用担心劫持了。看这个链接,预装的 key 是必需的
>> https://bugzilla.redhat.com/show_bug.cgi?id=530598
>>
>> 2012/11/6 toknot xiao <chopins.xiao在gmail.com>:
>> > 最近更新系统发现HTTP下载会被运营商劫持,而且YUM下载的时候大量使用的是HTTP协议,因此也会被劫持,然后导致更新错误
>> > 虽然我知道安装新源的时候会要求导入一个GPG签名,不知道yum是否会对下载服务器进行验证,
>> > 以及是否对包进行安全校验,校验的方法是什么?
>> > --
>> > Fedora中文郵件列表:https://admin.fedoraproject.org/mailman/listinfo/chinese
>>
>>
>>
>> --
>> bbbush ^_^
>> --
>> Fedora中文郵件列表:https://admin.fedoraproject.org/mailman/listinfo/chinese
>>
>
> --
> Fedora中文郵件列表:https://admin.fedoraproject.org/mailman/listinfo/chinese
>
--
bbbush ^_^
More information about the Chinese
mailing list