我需要创建一个 Linux 安装映像,稍后我必须在无法访问互联网的情况下安装其他软件包。我必须检查图像和包裹是否是正品。
第 1 步很简单:转到https://alpinelinux.org/downloads/,获取图像、签名和sha sum并检查它们。
我只是不知道如何从 alpine 下载软件包并检查该软件包的有效性。他们有签名吗?
顺便说一句,对于 Debian 来说也是如此......
哈希值似乎是 alpine 包的一部分。我怎样才能检查它们?他们签名了吗?
答案1
包签名由 apk 自动完成。
存储库中构建的软件包经过签名,安装时会使用您可以在 中找到的密钥进行检查/etc/apk/keys
,因此如果您使用官方存储库,它可以开箱即用。
如果您计划添加一些自己构建的自定义包,则需要将密钥添加到/etc/apk/keys
.这些密钥可以使用命令创建abuild-keygen
。您可以在以下位置找到有关此主题的更多信息:https://wiki.alpinelinux.org/wiki/Include:Abuild-keygen
如果您想更深入地了解 Alpine 中签名的工作原理,请查看此文档:https://wiki.alpinelinux.org/wiki/Apkindex_format
.: 弗朗西斯科