我应该安装未签名的软件包吗?

我应该安装未签名的软件包吗?

昨天当我尝试更新软件包时,我收到一条消息询问我是否要安装未签名的软件包。我点击了否并停止了更新。

今天我更新了所有软件包,但是没有出现该消息。

那么,什么是未签名的软件包?我应该安装它们吗?

  • 我已经sudo apt-get update更新了软件包列表,但仍然收到错误
  • 我没有使用任何 PPA

答案1

您不应该信任未签名的软件包。从安全角度来看,签名的软件包意味着制作者使用他们拥有的 PGP 密钥表示“我创建了这个软件包,我验证了它的真实性!”未签名的软件包是有风险的,因为您不知道开发者是谁(而签名的软件包则知道)。

更新的另一个问题是,如果您使用 PPA,如果未下载最初对软件包进行签名的 PGP 密钥,则它可能会将软件包读取为未签名的,在这种情况下,您应该确保您可以连接到密钥服务器,并确保软件包的签名者在 Ubuntu 密钥服务器中有一个密钥。

答案2

如果您没有任何 PPA,而只是使用库存配置,并且您获得了未签名的软件包,则可能表明您所提取的镜像配置错误或正在更新等。

如果您经常看到此错误,请考虑切换到另一个 Ubuntu 镜像:

答案3

通常,您可以通过重新检查软件包列表并重新下载签名来修复无法验证软件包的错误sudo apt-get update。如果您遇到有关验证的错误,请不要偷懒,直接安装软件包。相反,先找出无法验证软件包的原因并修复该问题。这样,恶意的人就无法诱骗您安装他可能被植入的 rootkit 来代替真正的软件包。

答案4

下次添加存储库密钥时,应添加

通常使用 add-apt-repository 添加 PPA 就可以了

例子

sudo 添加 apt 存储库 ppa:mozillateam/firefox-stable

添加 ppa 和密钥

相关内容