Há alguma verificação de GPG no OpenBSD ao instalar um aplicativo?

2

Como sob uma distribuição média do Linux - há alguma verificação de que os pacotes baixados são realmente os pacotes que estão no servidor espelho?

    
por LanceBaynes 08.09.2011 / 15:42

2 respostas

5

Pacotes obtidos por pkg_add de os sites espelhos oficiais são assinados e o utilitário pkg_add irá verificar automaticamente as assinaturas contra as chaves disponíveis no seu sistema.

Em o manual pkg_add :

 If a package is digitally signed:

 •   pkg_add checks that its signature is valid and that the signature was
     emitted by a valid signing key, as stored in /etc/signify/*-pkg.pub,

 •   pkg_add verifies that the compressed package data matches the
     signature, before it decompresses and unpacks files.

As assinaturas não são verificadas usando o GnuPG, mas com o signify utility nativo.

Resposta antiga (desatualizada) de 2011:

Não, não há. Mas veja estes tópicos na lista openbsd-misc:

por 08.09.2011 / 15:54
0

Agora você pode executar algumas verificações quando atualizar o sistema! Verifique o comando signify mencionado aqui: link

Você pode obter o arquivo SHA256.sig no espelho oficial , sob sua versão e arquitetura.

Ao atualizar, você precisa verificar as assinaturas do kernel da nova versão antes de inicializá-lo (e selecionando (U)pgrade ). Depois disso, o atualizador faz a verificação de assinatura automaticamente para o restante do sistema que instala.

    
por 21.07.2018 / 19:04