我计划在 Ubuntu LTS 8.04 上运行生产服务器,并且我担心我正在安装的软件包的安全性,我想确保通过 apt-get 下载的软件包没有被篡改。
- 如何查看与 ubuntu 中的包相关的数字签名?
- apt-get install、apt-get update、apt-get upgrade 在下载、安装软件包时是否会自动检查数字签名,还是我需要传递命令行选项才能进行这些检查?
- 当我使用 apt-get install 安装软件包时,假设该软件包是 ubuntu 主发行版的一部分,我应该信任谁,我是信任 canonical、debian 还是开源贡献者?
答案1
您相信 Canonical 编译了该程序,因此它没有任何源代码中未发现的篡改,并且他们验证了上传它的 ubuntu 开发人员对源代码的签名,或者如果软件包来自 Debian,Debian 对上传它的 Debian 开发人员做了同样的验证。您信任上传源软件包的开发人员,他们当然无法彻底审查所有上游代码,因此您也信任所有上游开源贡献者。