32.3. 檢查一個套件的簽章
假如您想要確認一個套件是否已經毀損或被竄改,只需要在 shell 提示符號下輸入以下指令加上 RPM 套件的檔案名稱來檢查 md5sum:
rpm -K --nogpg <rpm-file> |
您將會看到下列訊息 <rpm-file>: md5 OK。 這個簡短的訊息表示檔案在下載過程中沒有毀損,如想看到更多的訊息,請在指令中以 -Kvv 取代 -K 選項。
另外,建立這個套件的程式開發者是可以信賴的嗎? 假如該套件已簽署該程式開發者的 GnuPG 金鑰,您便知道這個開發者就是開發該程式的本人了。
可以使用 Gnu Privacy Guard(或 GnuPG)來簽署一個 RPM 套件,以幫助您確定下載的套件是可信賴的。
GnuPG 是用來做安全通訊的一種工具,它是 PGP (一種電子的私密性程式)加密技術的一個完整且免費的替代品。 藉由使用 GnuPG,您可以認證文件的有效性,以及加密與解密與其他聯絡人的通訊資料。 GnuPG 也可用來解密與校驗 PGP 5.x 的檔案。
在 Red Hat Linux 的安裝過程中,已預設安裝 GnuPG,這樣您便可以馬上開始使用 GnuPG 來檢驗從 Red Hat 接收到的任何套件。 首先您必須匯入 Red Hat 所釋出的公鑰。
32.3.1. 匯入金鑰
如要檢驗 Red Hat 的套件,您必須匯入 Red Hat 的 GPG 金鑰,請在 shell 提示符號下輸入下列指令:
rpm --import /usr/share/rhn/RPM-GPG-KEY |
如要顯示用於 RPM 校驗的所有已安裝的金鑰清單,請執行下列指令:
rpm -qa gpg-pubkey* |
關於 Red Hat 的金鑰,輸出將會含有:
gpg-pubkey-db42a60e-37ea5438 |
如要顯示關於一個特定金鑰的詳細資訊,請使用 rpm -qi 指令再加上前一指令的輸出:
rpm -qi gpg-pubkey-db42a60e-37ea5438 |
32.3.2. 檢驗套件的簽章
在匯入建立者的 GnuPG 金鑰後,如要檢查一個 RPM 檔案的 GnuPG 簽章,請使用下列指令(以 RPM 套件的檔案名稱取代 <rpm-file>):
rpm -K <rpm-file> |
假如一切進行順利,您將會看到這個訊息: md5 gpg OK。 這表示該套件的簽章已經確認,而且沒有毀損。
 | 建議 |
|---|---|
如需關於 GnuPG 的更多資訊,請參考 附錄 B。 |