.deb我已经通过提供的文件安装了 Google Chrome这里,但在安装之后我意识到我没有检查.deb文件的 MD5 以确保它没有损坏或被篡改(因为当时我下载的一些其他软件的 MD5 是错误的,所以我不得不重新下载)然后我安装了 Google Chrome 并删除了该.deb文件。
我有两个相关的问题:
有什么方法可以验证我当前安装的 Google Chrome 的完整性吗?也许在安装过程中应用程序会记录 MD5?或者也许使用签名密钥,我仍然可以进行测试而无需重新安装 Google Chrome?
在哪里可以找到 Google Chrome 的官方 MD5?我在他们的网站上找不到它。
答案1
嗯,验证 deb 最简单的方法是通过apt
看apt-get install 命令对中间人攻击的安全性如何和安全 Debian 手册了解详情。
但是,如果您没有通过 安装该软件包,这对您没有帮助apt。
然后取决于 .deb 的打包方式。如果“正确”打包,它应该包含文件的 md5sum
看看/var/lib/dpkg/info/google-chrome.md5sums这里,我不确定确切的文件名。
您还可以使用 -V 或 dpkg --verify 选项
dpkg --verify google-chrome
-V, --verify [package-name...]
Verifies the integrity of package-name or all packages if
omitted, by comparing information from the installed paths with
the database metadata.
The output format is selectable with the --verify-format option,
which by default uses the rpm format, but that might change in
the future, and as such programs parsing this command output
should be explicit about the format they expect.
如果您安装了受损软件包并且该人是善意的,或者打包 .deb 的人没有遵循标准协议,那么您实际上无法验证该软件包,因为 md5sum 将是好的(在第一种情况下)或缺失(在第二种情况下)。
这是为什么你不应该在 ubuntu 存储库之外安装软件包的一个例子(使用铬)以及为什么我建议包装人员遵循包装指南。虽然指南很麻烦,但它们很重要。