在 Linux 下有一个名为“ubuntu-keyring”的软件包 - 它用于检查下载的软件包(来自官方存储库)是否是服务器上的软件包。
我怎样才能在 OpenBSD 下做到这一点?如何检查下载的软件包(通过 pkg_add - 来自官方存储库)是否是服务器上的软件包?
更新: rsync 适合这项工作吗?
答案1
默认情况下,OpenBSD 软件包根本没有“签名”。
如果您在商业环境中使用 OpenBSD,请让您的雇主购买发行 CD。然后您将获得 OpenBSD 版本,其中包含 CD 上的软件包,您可以信任:-)
更好的方法,如果你认真使用 OpenBSD,你应该拥有它,那就是拥有一个构建服务器。从 anoncvs 同步 OpenBSD 端口 - 在这里您信任公开宣布的 ssh 指纹 - 然后构建您自己的端口并使用证书对其进行签名。使用工具“dpb”应该会容易得多。
OpenBSD 软件包是整个项目的次要兴趣。