[FZH] yum 更新时的是否进行了安全验证验证?

杜宏羽 dongfengweixiao at gmail.com
Thu Nov 8 08:43:19 UTC 2012


这个不怕,源里面的rpm本身还有自己的签名,而默认的新版本的yum我记得是打开签名验证的

在 2012年11月7日星期三,toknot xiao 写道:

> @Christopher Meng: 原来是这样,那就没什么好担心了,只是经常因为HTTP劫持而下载失败
> @杜宏羽:  但是我发现我下载的索引文件也是被劫持的,所以用文件的MD5来校验也不是可靠的
>
>
>
> 在 2012年11月7日 下午5:15,杜宏羽 <dongfengweixiao在gmail.com <javascript:;>>写道:
>
> > 你可以安装rpm包却不提供验证其真实性.下载的包,是这样的,首先下载仓库的索引,然后按照索引下载文件,假如最终的md5不一致,就会被抛弃.
> >
> > 在 2012年11月7日星期三,toknot xiao 写道:
> >
> > > 最近更新系统发现HTTP下载会被运营商劫持,而且YUM下载的时候大量使用的是HTTP协议,因此也会被劫持,然后导致更新错误
> > > 虽然我知道安装新源的时候会要求导入一个GPG签名,不知道yum是否会对下载服务器进行验证,
> > > 以及是否对包进行安全校验,校验的方法是什么?
> > > --
> > > Fedora中文郵件列表:https://admin.fedoraproject.org/mailman/listinfo/chinese
> > >
> > --
> > Fedora中文郵件列表:https://admin.fedoraproject.org/mailman/listinfo/chinese
> >
>


More information about the Chinese mailing list