为什么要注意安全?
安全事件:2012年1月PuTTY后门事件
这是我(@胡争辉)亲身经历的事件,同事春节回家期间在网吧(呵呵),用XX搜索引擎(呵呵),搜索PuTTY第一个是推广广告(呵呵),下载。
安全事件:2017年8月15日xshell多版本后门事件
目前除官方最新版本1326外,国内主流下载站上的 5.0.1322、 5.0.1325均确认存在后门
后门干什么?
直接把服务器的用户名和密码偷走,然后就可以兴风作浪了
为什么安装Cygwin要注意安全?
使用Cygwin,就免不了使用Cygwin中打包的ssh系列软件,也面临同样的安全问题,而且由于Cygwin中包含大量的软件,任何一个软件的安全隐患就是绝对的隐患。
访问下载页面获取下载链接
https://cygwin.com/install.html
程序
https://cygwin.com/setup-x86_64.exe
签名
https://cygwin.com/setup-x86_64.exe.sig
公钥
https://cygwin.com/key/pubring.asc
下载公钥
# /usr/bin/wget https://cygwin.com/key/pubring.asc
导入公钥
# /usr/bin/gpg --import pubring.asc
gpg: 密钥 676041BA:公钥“Cygwin <cygwin@cygwin.com>”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1
列出指纹
# /usr/bin/gpg --fingerprint
pub 1024D/676041BA 2008-06-13
密钥指纹 = 1169 DF9F 2273 4F74 3AA5 9232 A9A2 62FF 6760 41BA
uid Cygwin <cygwin@cygwin.com>
sub 1024g/A1DB7B5C 2008-06-13
下载程序
# /usr/bin/wget https://cygwin.com/setup-x86_64.exe
下载签名
# /usr/bin/wget https://cygwin.com/setup-x86_64.exe.sig
较验程序文件签名
# /usr/bin/gpg --verify setup-x86_64.exe.sig setup-x86_64.exe
gpg: 警告:配置文件‘/home/huzh/.gnupg/gpg.conf’权限不安全
gpg: 警告:配置文件‘/home/huzh/.gnupg/gpg.conf’的关闭目录权限不安全
gpg: 于 2017年07月 6日 0:46:11 CST 创建的签名,使用 DSA,钥匙号 676041BA
gpg: 完好的签名,来自于“Cygwin <cygwin@cygwin.com>”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 1169 DF9F 2273 4F74 3AA5 9232 A9A2 62FF 6760 41BA