如何检查下载的 alpine-linux 软件包的有效性?

如何检查下载的 alpine-linux 软件包的有效性?

我需要创建一个 Linux 安装映像,稍后我必须在无法访问互联网的情况下安装其他软件包。我必须检查图像和包裹是否是正品。

第 1 步很简单:转到https://alpinelinux.org/downloads/,获取图像、签名和sha sum并检查它们。

我只是不知道如何从 alpine 下载软件包并检查该软件包的有效性。他们有签名吗?

顺便说一句,对于 Debian 来说也是如此......

哈希值似乎是 alpine 包的一部分。我怎样才能检查它们?他们签名了吗?

答案1

包签名由 apk 自动完成。

存储库中构建的软件包经过签名,安装时会使用您可以在 中找到的密钥进行检查/etc/apk/keys,因此如果您使用官方存储库,它可以开箱即用。

如果您计划添加一些自己构建的自定义包,则需要将密钥添加到/etc/apk/keys.这些密钥可以使用命令创建abuild-keygen。您可以在以下位置找到有关此主题的更多信息:https://wiki.alpinelinux.org/wiki/Include:Abuild-keygen

如果您想更深入地了解 Alpine 中签名的工作原理,请查看此文档:https://wiki.alpinelinux.org/wiki/Apkindex_format

.: 弗朗西斯科

相关内容