使用apt等效于rpm -K

9

在中定义为在“ 最大RPM”中和在“ 最大RPM”中验证存储库的签名apt相当于什么?rpm -K *.rpm-Kman rpm

情况示例:

sudo rpm --import https://mirrors.example.com/rpm/RPM-GPG-KEY-release &&
rpm -K example.rpm
debian  rhel  apt  rpm  gpg 
jp
source
4
dpkg等价于rpmnot apt。是否.deb要安装但要验证其完整性,还是要从存储库中安装某些内容?
kemotep
我没有一个.deb唯一的rpm。我可以用alien它来转换成一个.deb。或者说,无论何时我尝试验证签名(可能是错误地)时,我一直都做得不尽如人意。
tsujp
嗯,这就是问题的一部分。您没有提到您正在使用alien。我不相信它可以验证签名,或者它可能改变包的内容,这样的签名不会之间匹配debrpm反正。由于用户斯蒂芬·基特指出,如果该包的维护者并没有使用debsig-verifydeb软件的版本,包将不会被摆在首位签约。请编辑您的问题,以更具体地说明解决问题所要采取的步骤。谢谢。
kemotep

Answers:

8

等效于debsig-verify,它使用本地存储的密钥和策略来验证程序包中的嵌入式签名.deb

不幸的是,这通常没有用,因为Debian软件包通常不是单独签名的。实际上,据我所知,Debian档案库拒绝单独签名的上传。Debian对整个存储库进行签名,而不是对单个软件包进行签名,这意味着可以在下载软件包时对其进行验证,但不一定要在之后进行验证。(有关存储库身份验证的详细信息,请参见Debian软件包的真实性如何得到保证?。)apt将在安装软件包之前使用其本地缓存的信息和本地存储的密钥来验证软件包,但我认为没有办法要求它将程序包验证为单独的任务。

斯蒂芬·基特
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.