验证软件包的正确性

最新推荐文章于 2023-09-01 03:22:31 发布
最新推荐文章于 2023-09-01 03:22:31 发布
阅读量3.2k 收藏
点赞数
分类专栏: Linux 文章标签: mysql download shell build linux 加密
 

2.1.4. 通过MD5校验和或GnuPG验证软件包的完整性

2.1.4.1. 验证MD5校验和 2.1.4.2. 通过GnuPG进行签名检查 2.1.4.3. 使用RPM进行签名检查
下载了适合你的需求的 MySQL安装软件包并在安装前,你应当确保它的完整性,没有被篡改。 MySQL AB提供了 3种完整性检查方法:

·         MD5校验和

·         使用GnuPG、GNU Privacy Guard对签名进行加密

·         对于RPM软件包,使用内嵌式RPM完整性验证机制

下面的章节描述了如何使用这些方法。

如果你注意到MD5校验和与GPG签名不匹配,首先应尝试多次下载相关安装软件包,可以从其它镜像站点。如果你反复尝试仍不能成功验证安装软件包的完整性,请将此类问题通知给我们,包括完整的安装软件包名和你使用的下载站点,在<webmaster@mysql.com>或<build@mysql.com>。不要使用缺陷-报告机制来报告下载问题。

2.1.4.1. 验证MD5校验和

下载MySQL安装软件包后,你应当确保它的MD5校验和与提供的MySQL下载页上的相匹配。每个安装软件包有唯一的校验和,可以用下面的命令来验证,其中package_name是你下载的安装软件包的名称:

shell> md5sum package_name

示例:

  shell> md5sum mysql-st和ard-5.1.2-alpha-linux-i686.tar.gz
  aaab65abbec64d5e907dcd41b8699945  mysql-st和ard-5.1.2-alpha-linux-i686.tar.gz

你应当验证结果校验和(十六进制数字字符串)与下载页上相关安装软件包下面显示的校验和相匹配。

注释:一定要验证归档文件(例如,.zip或.tar.gz文件)的校验和,而不是其中包括的文件。

请注意并非所有操作系统支持md5sum命令。在一些操作系统上,只是称为md5,另一些根本不装载它。在Linux中,它是GNU Text Utilities安装软件包的一部分,适合各种平台。可以从http://www.gnu.org/software/textutils/下载源码。如果你已经安装了OpenSSL,还可以使用命令openssl md5 package_namehttp://www.fourmilab.ch/md5/提供了DOS/Windows使用的md5命令行实用工具。winMd5Sum是一个图形MD5检查工具,可以从http://www.nullriver.com/index/products/winmd5sum获得。

2.1.4.2. 通过GnuPG进行签名检查

验证安装软件包完整性和真实性的另一个方法是使用加密签名。这比使用MD5校验和更可靠,但是需要更多的工作。

MySQL AB用GnuPG(GNU Privacy Guard)对下载MySQ软件包进行签名。GnuPG是开放源码,不同于Phil Zimmermann的闻名的Pretty Good Privacy (PGP)。关于GnuPG和如何获得并安装到你的系统的详细信息,请参见http://www.gnupg.org/。大多数Linux分发版装有默认安装的GnuPG。关于GnuPG的详细信息,参见 http://www.openpgp.org/

要想验证具体安装软件包的签名,你首先需要获得MySQL AB公共GPG构建密钥的拷贝。可以从http://www.keyserver.net/下载密钥。你想要获得的密钥名为build@mysql.com。另外,可以从下面的文本直接剪切并粘贴密钥:

Key ID:
pub  1024D/5072E1F5 2003-02-03
     MySQL Package signing key (www.mysql.com) <build@mysql.com>
Fingerprint: A4A9 4068 76FC BD3C 4567  70C8 8C71 8D3B 5072 E1F5
 
Public Key (ASCII-armored):
 
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
 
mQGiBD4+owwRBAC14GIfUfCyEDSIePvEW3SAFUdJBtoQHH/nJKZyQT7h9bPlUWC3
RODjQReyCITRrdwyrKUGku2FmeVGwn2u2WmDMNABLnpprWPkBdCk96+OmSLN9brZ
fw2vOUgCmYv2hW0hyDHuvYlQA/BThQoADgj8AW6/0Lo7V1W9/8VuHP0gQwCgvzV3
BqOxRznNCRCRxAuAuVztHRcEAJooQK1+iSiunZMYD1WufeXfshc57S/+yeJkegNW
hxwR9pRWVArNYJdDRT+rf2RUe3vpquKNQU/hnEIUHJRQqYHo8gTxvxXNQc7fJYLV
K2HtkrPbP72vwsEKMYhhr0eKCbtLGfls9krjJ6sBgACyP/Vb7hiPwxh6rDZ7ITnE
kYpXBACmWpP8NJTkamEnPCia2ZoOHODANwpUkP43I7jsDmgtobZX9qnrAXw+uNDI
QJEXM6FSbi0LLtZciNlYsafwAPEOMDKpMqAK6IyisNtPvaLd8lH0bPAnWqcyefep
rv0sxxqUEMcM3o7wwgfN83POkDasDbs3pjwPhxvhz6//62zQJ7Q7TXlTUUwgUGFj
a2FnZSBzaWduaW5nIGtleSAod3d3Lm15c3FsLmNvbSkgPGJ1aWxkQG15c3FsLmNv
bT6IXQQTEQIAHQUCPj6jDAUJCWYBgAULBwoDBAMVAwIDFgIBAheAAAoJEIxxjTtQ
cuH1cY4AnilUwTXn8MatQOiG0a/bPxrvK/gCAJ4oinSNZRYTnblChwFaazt7PF3q
zIhMBBMRAgAMBQI+PqPRBYMJZgC7AAoJEElQ4SqycpHyJOEAn1mxHijft00bKXvu
cSo/pECUmppiAJ41M9MRVj5VcdH/KN/KjRtW6tHFPYhMBBMRAgAMBQI+QoIDBYMJ
YiKJAAoJELb1zU3GuiQ/lpEAoIhpp6BozKI8p6eaabzF5MlJH58pAKCu/ROofK8J
Eg2aLos+5zEYrB/LsrkCDQQ+PqMdEAgA7+GJfxbMdY4wslPnjH9rF4N2qfWsEN/l
xaZoJYc3a6M02WCnHl6ahT2/tBK2w1QI4YFteR47gCvtgb6O1JHffOo2HfLmRDRi
Rjd1DTCHqeyX7CHhcghj/dNRlW2Z0l5QFEcmV9U0Vhp3aFfWC4Ujfs3LU+hkAWzE
7zaD5cH9J7yv/6xuZVw411x0h4UqsTcWMu0iM1BzELqX1DY7LwoPEb/O9Rkbf4fm
Le11EzIaCa4PqARXQZc4dhSinMt6K3X4BrRsKTfozBu74F47D8Ilbf5vSYHbuE5p
/1oIDznkg/p8kW+3FxuWrycciqFTcNz215yyX39LXFnlLzKUb/F5GwADBQf+Lwqq
a8CGrRfsOAJxim63CHfty5mUc5rUSnTslGYEIOCR1BeQauyPZbPDsDD9MZ1ZaSaf
anFvwFG6Llx9xkU7tzq+vKLoWkm4u5xf3vn55VjnSd1aQ9eQnUcXiL4cnBGoTbOW
I39EcyzgslzBdC++MPjcQTcA7p6JUVsP6oAB3FQWg54tuUo0Ec8bsM8b3Ev42Lmu
QT5NdKHGwHsXTPtl0klk4bQk4OajHsiy1BMahpT27jWjJlMiJc+IWJ0mghkKHt92
6s/ymfdf5HkdQ1cyvsz5tryVI3Fx78XeSYfQvuuwqp2H139pXGEkg0n6KdUOetdZ
Whe70YGNPw1yjWJT1IhMBBgRAgAMBQI+PqMdBQkJZgGAAAoJEIxxjTtQcuH17p4A
n3r1QpVC9yhnW2cSAjq+kr72GX0eAJ4295kl6NxYEuFApmr1+0uUq/SlsQ==
=YJkx
-----END PGP PUBLIC KEY BLOCK-----

你可以使用gpg --import将构建密钥导入你的个人公共GPG钥匙圈(keyring)。例如,如果你把密钥保存到mysql_pubkey.asc文件中,导入命令应为:

shell> gpg --import mysql_pubkey.asc

关于公共密钥如何工作的详细信息,请参阅GPG文档。

下载并导入公共构建密钥后,下载期望的MySQL安装软件包和相应的签名,也可以从下载页上获得。签名文件名与分发版文件相同,有 an .asc扩展名。例如:

分发文件

mysql-st和ard-5.1.2-alpha-linux-i686.tar.gz

签名文件

mysql-st和ard-5.1.2-alpha-linux-i686.tar.gz.asc

确保两个文件保存在同一目录下,运行下面的命令来验证分发文件的签名:

shell> gpg --verify package_name.asc

示例:

  shell> gpg --verify mysql-standard-5.1.2-alpha-linux-i686.tar.gz.asc
  gpg: Signature made Tue 12 Jul 2005 23:35:41 EST using DSA key ID 5072E1F5
  gpg: Good signature from "MySQL Package signing key (www.mysql.com) <build@mysql.com>"

Good signature消息表示所有内容都很正确。你可以忽略任何insecure memory警告。

2.1.4.3. 使用RPM进行签名检查

RPM软件包没有单独的签名。RPM软件包内置GPG签名和MD5校验和。可以运行下面的命令来验证安装软件包:

shell> rpm --checksig package_name.rpm

示例:

shell> rpm --checksig MySQL-server-5.1.2-alpha-0.i386.rpm
MySQL-server-5.1.2-alpha-0.i386.rpm: md5 gpg OK

注释:如果你正使用RPM 4.1,并且出现关于(GPG) NOT OK (MISSING KEYS: GPG#5072e1f5)的抱怨,尽管你已经将MySQL公共构建密钥导入到你自己的GPG钥匙圈,你必须首先将密钥导入到RPM钥匙圈中。RPM 4.1不再使用你的个人GPG钥匙圈(或GPG本身)。RPM 4.1维护自己的钥匙圈,因为它是系统范围的应用程序,而用户GPG公共钥匙圈是具体的用户文件。要想将MySQL公共密钥导入RPM钥匙圈,要首先获得前面章节描述的密钥。然后使用rpm --import导入密钥。例如,如果你的公共密钥保存在mysql_pubkey.asc文件中,应使用下述命令导入公共密钥:

shell> rpm --import mysql_pubkey.asc

如果你需要获得MySQL公共密钥,参见2.1.4.2节,“通过GnuPG进行签名检查



如:
[root@lideyong download]# md5sum fcitx-3.0.0rc.tar.bz2
e9da164f48db45afb60093892fd911a9  fcitx-3.0.0rc.tar.bz2
[root@lideyong download]# md5sum gWuBi-0.8-0.2.i386.rpm
fcc163b56aacbab0024a9c1992ca2c15  gWuBi-0.8-0.2.i386.rpm
[root@lideyong download]# rpm --checksig gWuBi-0.8-0.2.i386.rpm
gWuBi-0.8-0.2.i386.rpm: sha1 MD5 NOT OK
[root@lideyong download]# rpm --checksig fcitx-3.1-1mgc.i686.rpm
fcitx-3.1-1mgc.i686.rpm: sha1 md5 OK
[root@lideyong download]# rpm --checksig amaya_wx-9.51-1.i386.rpm
amaya_wx-9.51-1.i386.rpm: sha1 md5 OK
[root@lideyong download]#

软若石
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux验证rpm包完整性,RPM 校验软件包完整性
weixin_34246598的博客
05-13 1645
有些事情对我们系统管理员来说至少发生过一次,就是你感觉到你的系统好像不对劲,开始怀疑有人已经突破了你的防御。确定此事是否发生的途径之一就是检查系统文件有没有变化,你需要安装TripWire或者其他审计工具来帮忙。幸运的是,RedHat的程序员们开发了一个工具,叫作RedHatPackageManager,简称为RPM。在RedHat的Linux系统中是默认存在的。RPM能为我做些什么?RPM是一个...
通过U盘 读去BIN文件进行校验写入到外部存储FLASH算法
最新发布
lianxiwang2008的专栏
06-14 618
/ 这里的变量名m_erase可能是个误导,因为它通常表示擦除操作,但这里用作读取操作的返回值。// 则需要计算从当位置到文件末尾(减去校验和或尾部信息的长度)的数据校验和。if(DataRemain < 1024) // 如果剩余要读取的字节数小于1024。if(m_erase) // 如果读取操作失败(假设m_erase非零表示失败)// 判断是否到了文件末尾附近的区域,这部分通常包含数据校验和或尾部信息。// 计算读取到的数据校验和。// 将读取到的数据写入外部flash。
软件包校验方法
k的专栏
09-20 8646
 1.1用MD5进行校验当你下载一个软件包后,你应该去校验它,如果你的软件包带有MD5校验码,你可用下面的方法进行校验:shell> md5sum 注:并不是所有的操作系统都支持MD5SUM 命令----有的系统里它叫"MD5",你的LINUX也可能不支持.在LINUX,里,这个工具是一个GNU文本工具,你可下载源代码在这里:http://www.gnu.org/software/textut
效验安装包和脚本的完整性
weixin_33778544的博客
08-27 316
下载我们需要的包和公钥一、首先要效验包的完整性1、导入公钥文件rpm --import GLS-GPG-KEY.txt2、查看已导入的公钥(卸载公钥:rpm -egpg-pubkey-fd431d51-4ae0493b)3、效验公私钥非对称加密rpm -vvKFluffyMcAwesome-A-6.4.0-11.r19335.x86_64.rpm (有两个,另一个不截图了)(...
verify-package-version::folded_hands:GitHub动作,用于验证您的软件包版本是否满足某些条件
05-10
:folded_hands: 验证软件包版本 验证您的软件包版本是否满足某些条件。 当仅支持PR触发,并且可以通过提出更多方案要求。 预习 如何使用 ? name : Verify Package Version on : pull_request : types : [opened, edited, reopened, synchronize, ready_for_review] jobs : verify : runs-on : ubuntu-latest # Add conditions to trigger more effectively if : contains(github.event.pull_request.title, 'changelog') steps : - uses : actions/checkout@v2
rpmverify命令 验证已安装的RPM软件包正确性
01-09
rpmverify命令用来验证已安装的rpm软件包正确性。 语法格式: rpmverify [参数] 常用参数: -Va 验证所有软件包 -Vf 验证指定软件包 –nomd5 不验证软件包的md5摘要 参考实例 验证所有软件包: ...
vasp软件包
03-11
**VASP软件包详解** VASP(Vienna Ab initio Simulation Package)是一款广泛应用于固体物理、材料科学领域的第一性原理计算软件...然而,要注意的是,由于代码未经验证,使用最好先进行简单的测试以确保其正确性
Centos升级OpenSSH9.6p1版本所需软件包
01-17
在IT行业中,安全性和可靠性是服务器管理的关键因素之一,OpenSSH作为远程访问和管理服务器的主要工具,其安全性至关重要。...通过正确地编译和安装这些包,我们可以确保服务器的安全性和效率得到提升。
oracle11g linux 缺省软件包
09-25
Linux系统上安装Oracle 11g是一项技术性...正确安装和配置这些软件包是成功部署Oracle数据库的关键步骤。在整个过程中,需要注意系统兼容性、权限设置、安全性以及性能优化等多个方面,确保数据库稳定、高效地运行。
pullinux软件包:Pullinux软件包
02-15
在整个过程中,Shell脚本的编写灵活性和强大功能使得Pullinux软件包的构建过程可以被精确控制和重复执行,大大提高了效率。同时,通过良好的文档记录和注释,这些脚本还能帮助其他开发者理解和复用,促进社区的协作...
16进制校验和软件
11-25
最近工作需要,对16进制的数据计算校验和比较多,最关键是还要对BIN文件进行校验和,无奈之下,写了一个小软件,希望对大家都有帮助,所以分享一下 1.支持单个输入数据计算 1.支持单个输入数据计算 2.支持文件读取数据然后进行计算
校验和CheckSum获取工具
11-22
在通讯技术开发过程中往往需要用到校验和,调试过程中需要计算校验和正确与否?用此工具很方便计算出校验和。 使用说明:在输入文本框中以十六进制输入一串需要计算的数据(以空格分开,不需要0x开头),如输入: 15 9a b6 85 4f 点击按钮GetCheckSum 即可在输出文本框中显示:1B 20
bin文件增加crc到文件末尾
04-29
做IAP升级需要用到BIN文件,为了确保BIN文件正确,于是在BIN文件的末尾增加了CRC校验校验值是通过工具自动生成的并添加的。 1.下载工具解压到keil任意的文件下,这里我是放在D:\Keil_v5\ARM\ARMCC文件夹内。这个路径 后续需要用到。 2.在你项目的启动文件所在的文件夹内,增加一个bat文件,在run#1增加执行命令
Android Verified Boot Recovery/OTA verify_package过程
求变,从思想开始
12-11 1238
Android Recovery下升级,实际上OTA最终也是调用这个方法。 里面有个流程是需要验证verify_package,使用的是/res/keys,这个keys是从哪儿来的呢。 static constexpr const char* PUBLIC_KEYS_FILE = "/res/keys"; std::vector<Certificate> loadedKe...
Android APK文件完整性验证
q1165328963的博客
09-01 1202
APK完整性的校验方式:一种是对应CONTENT_DIGEST_CHUNKED_SHA256(对应摘要算法"SHA-256")或CONTENT_DIGEST_CHUNKED_SHA512(对应摘要算法"SHA-512")算法的摘要验证,它是将参与摘要的数据分成1M字节大小;另外一种是对应CONTENT_DIGEST_VERITY_CHUNKED_SHA256(对应摘要算法"SHA-256"),它将构建Merkle树,它的分块大小是4096字节,并且得到树根的摘要值,拿它和v2分块中的摘要进行比对。
用PGP校验软件包
08-12 275
来自Yum或Apt仓库的RPM软件包将会自动检查公钥。如果单独下载了一个RPM软件包,可以手工校验这个软件包。如果有软件提供者的公钥,可以使用rpm目录带上-K选项校验任何RPM软件包。下面的例子校验了xcdroast软件包的有效性: # rpm -K xcdroast-0.98alpha9-...
stm32 esp8266 ota升级-qt bin文件处理工具
hbwang的博客
12-27 2050
qt对bin文件bin文件每隔固定字节插入crc校验处理,简单来说:读取bin文件–>分包计算crc–>追加保存到文件
痞子衡嵌入式:一次利用IAR自带CRC完整性校验功能的实践(为KBOOT加BCA)
痞子衡嵌入式
11-27 471
  大家好,我是痞子衡,是正经搞技术的痞子。今天痞子衡给大家分享的是利用IAR自带CRC完整性校验功能的一次实践(为KBOOT加BCA)。   痞子衡之写过两篇关于IAR中自带CRC校验功能的文章 《在IAR开发环境下为工程开启CRC完整性校验功能的方法》、《探析开启CRC完整性校验的IAR工程生成.out和.bin文件先后顺序》,算是把这个功能细节介绍得比较清楚了,但是俗话说得好,...
ros kinetic 有些软件包不能通过验证
10-28
3. 缺少必要的依赖项:某些软件包可能需要额外的依赖项才能正常工作,如果这些依赖项没有正确安装,软件包可能无法通过验证。 当遇到软件包无法通过验证的问题时,可以尝试以下解决方法: 1. 更新依赖项:通过更新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值