일반적인 Linux 배포판과 마찬가지로 다운로드한 패키지가 실제로 미러 서버의 패키지인지 확인하는 검사가 있습니까?
답변1
획득한 패키지는 pkg_add
다음에서 제공됩니다.공식 미러 사이트서명되면 pkg_add
유틸리티는 시스템에서 사용 가능한 키와 비교하여 서명을 자동으로 확인합니다.
~에서pkg_add
이것:
If a package is digitally signed:
• pkg_add checks that its signature is valid and that the signature was
emitted by a valid signing key, as stored in /etc/signify/*-pkg.pub,
• pkg_add verifies that the compressed package data matches the
signature, before it decompresses and unpacks files.
GnuPG를 사용하여 서명을 확인하지 않지만 기본적으로signify
유용.
2011년의 오래된(구식) 답변:
없이는 아닙니다. 그러나 openbsd-misc 목록에서 다음 스레드를 확인하십시오.
답변2
이제 시스템을 업데이트할 때 몇 가지 검사를 수행할 수 있습니다! signify
여기에 언급된 명령을 확인하십시오 .https://www.openbsd.org/faq/faq4.html#Download
SHA256.sig 파일은 다음에서 얻을 수 있습니다.공식 거울버전 및 아키텍처에 따라 다릅니다.
업데이트할 때 새 버전 을 부팅(및 선택 )하기 (U)pgrade
전에 새 버전의 커널 서명을 확인 해야 합니다. 그런 다음 업데이트 프로그램은 업데이트가 설치된 나머지 시스템에서 자동으로 서명 확인을 수행합니다.