一般的なLinuxディストリビューションと同様に、ダウンロードしたパッケージが実際にミラーサーバーのパッケージであることを確認するチェックはありますか?
答え1
取得したパッケージはpkg_add
以下から提供されます。公式ミラーサイト署名されると、pkg_add
ユーティリティはシステムで使用可能なキーと比較して署名を自動的に確認します。
~からpkg_add
これ:
If a package is digitally signed:
• pkg_add checks that its signature is valid and that the signature was
emitted by a valid signing key, as stored in /etc/signify/*-pkg.pub,
• pkg_add verifies that the compressed package data matches the
signature, before it decompresses and unpacks files.
GnuPGを使用して署名を確認しませんが、デフォルトではsignify
便利。
2011年の古い(古い)回答:
なしではありません。ただし、openbsd-misc リストで次のスレッドを確認します。
答え2
これで、システムを更新するときにいくつかのチェックを実行できます。signify
ここに記載されているコマンドを確認してください。https://www.openbsd.org/faq/faq4.html#Download
SHA256.sig ファイルは以下から入手できます。公式ミラーバージョンとアーキテクチャによって異なります。
更新するときは、新しいバージョンを起動(および選択)する(U)pgrade
前に、新しいバージョンのカーネル署名を確認する必要があります。その後、アップデートプログラムは、アップデートがインストールされている残りのシステムで自動的に署名検証を実行します。