我的目标是通过 debootstrap 从另一个 Ubuntu 安装设置 Ubuntu Server 安装,并确保此新安装是正确的 Ubuntu 安装,无需修改。当我执行
debootstrap trusty /mnt http://de.archive.ubuntu.com/ubuntu
我得到了回应
Valid Release signature (key id 790BC7277767219C42C86F933B4FE6ACC0B21F32)
但是这个发布签名是如何检查的呢?对照什么其他密钥?或者换一种问法:我如何确保下载的 debootstrap 包是有效的,并且在下载过程中没有被修改?
答案1
软件包的有效性将根据密钥环进行检查,密钥环可以通过选项明确指定--keyring=KEYRING(debootstrap有关man debootstrap详细信息,请参阅)。
如果省略debootstrap使用系统密钥环,您可以轻松地使用/[name]-keyring中的包和(仅稍微复杂一点)从源代码安装。synapticapt-get
如果debootstrap告诉您该软件包有效,则很有可能是有效的。如果您不信任debootstrap它用于验证的库,则需要根据源代码执行复杂的安全审查。
答案2
如果有人搜索更多细节:我用密钥文件的指纹解决了我的问题(您可以使用它们apt-key finger)并将它们与其他(安全)系统进行了比较。
这个帖子也许有帮助:我如何知道我的系统更新是值得信赖的?