如果你想校验某软件包是否被损坏或篡改过,只需检查 md5sum。在 shell 提示下键入下面的命令(把 coolapp 换成 RPM 软件包的文件名):
rpm -K --nogpg <rpm-file> |
你会看到消息“<rpm-file>: md5 OK”。这条消息意味着文件在下载中没有被损坏。要看到更详细的消息,把命令中的 -K 换成 -Kvv。
另一方面,创建软件包的开发者是不是值得信任?如果该软件包使用开发者的 GnuPG 钥匙(key)被签名(signed),你就会知道这位开发者的身份确实如他所言。
RPM 软件包可以使用 Gnu 隐私卫士(或称 GnuPG)来签名,从而帮助你肯定下载软件包的可信任性。
GnuPG 是安全通讯工具;它是 PGP(一种电子隐私程序)加密技术的完全和免费的替换品。使用 GnuPG,你可以验证文档的有效性,在其它通讯者之间加密或解密数据。GnuPG 还具有解密和校验 PGP 5.x 文件的能力。
在安装过程中,GnuPG 被默认安装。这样,你便可以立即开始使用 GnuPG 来校验来自红帽的软件包。首先,你需要导入红帽的公钥。