Kernel/signature/git: различия между версиями
Vt (обсуждение | вклад) Нет описания правки |
Vt (обсуждение | вклад) м (Vt переименовал страницу Kernel/signature в Kernel/signature/git: Для добавления страницы проверки rpm пакета) |
||
| (не показаны 3 промежуточные версии этого же участника) | |||
| Строка 5: | Строка 5: | ||
Актуальные GPG ключи ''ALT Linux Team'' находятся в пакете {{pkg|alt-gpgkeys}}. | Актуальные GPG ключи ''ALT Linux Team'' находятся в пакете {{pkg|alt-gpgkeys}}. | ||
# '''apt-get update''' | <span style="color:blue">#</span> '''apt-get update''' | ||
# '''apt-get install''' -y gnupg alt-gpgkeys | <span style="color:blue">#</span> '''apt-get install''' -y gnupg alt-gpgkeys | ||
= Проверка целостности исходного кода = | == Проверка целостности исходного кода == | ||
На каждом git | На каждом git тэге из которого собран пакет имеется GPG подпись того кто послал его на сборку. Так как более новые git объекты ссылаются на предыдущие достаточно проверить подпись на последнем (заглавном) из них. | ||
* Просмотр заглавного (указывающего на HEAD) тэга. Находясь в git репозитории пакета: | * Просмотр заглавного (указывающего на HEAD) тэга — подпись на котором мы будем проверять. Находясь в git репозитории пакета: | ||
linux$ '''git tag''' --points-at HEAD | <span style="color:blue">linux$</span> '''git tag''' --points-at HEAD | ||
kernel-image-std-def-5.10.154-alt1 | <span style="color:gray">kernel-image-std-def-5.10.154-alt1</span> | ||
* Проверка, что заглавный тэг подписан любым из участников ''ALT Linux Team'' (ключом из пакета {{pkg|alt-gpgkeys}}) без импорта ключей в свой keyring: | * Проверка, что заглавный тэг подписан любым из участников ''ALT Linux Team'' (ключом из пакета {{pkg|alt-gpgkeys}}) без импорта ключей в свой keyring: | ||
linux$ GNUPGHOME=/usr/lib/alt-gpgkeys '''git verify-tag''' $(git tag --points-at HEAD) | <span style="color:blue">linux$</span> GNUPGHOME=/usr/lib/alt-gpgkeys '''git verify-tag''' $(git tag --points-at HEAD) | ||
gpg: WARNING: unsafe ownership on homedir '/usr/lib/alt-gpgkeys' | <span style="color:grey">gpg: WARNING: unsafe ownership on homedir '/usr/lib/alt-gpgkeys' | ||
gpg: Signature made Fri 11 Nov 2022 12:24:11 AM MSK | gpg: Signature made Fri 11 Nov 2022 12:24:11 AM MSK | ||
gpg: using RSA key D03E0FF83BD31283 | gpg: using RSA key D03E0FF83BD31283 | ||
gpg: Good signature from "Kernel Bot <kernelbot@altlinux.org>" [unknown] | gpg: Good signature from "Kernel Bot <kernelbot@altlinux.org>" [unknown]</span> | ||
Убедитесь в наличии строки "'''Good signature'''". | Убедитесь в наличии строки "'''Good signature'''". | ||
Текущая версия от 15:42, 11 декабря 2022
Проверка целостности исходного кода в git репозитории ядра
Получение GPG ключей
Актуальные GPG ключи ALT Linux Team находятся в пакете alt-gpgkeys.
# apt-get update # apt-get install -y gnupg alt-gpgkeys
Проверка целостности исходного кода
На каждом git тэге из которого собран пакет имеется GPG подпись того кто послал его на сборку. Так как более новые git объекты ссылаются на предыдущие достаточно проверить подпись на последнем (заглавном) из них.
- Просмотр заглавного (указывающего на HEAD) тэга — подпись на котором мы будем проверять. Находясь в git репозитории пакета:
linux$ git tag --points-at HEAD kernel-image-std-def-5.10.154-alt1
- Проверка, что заглавный тэг подписан любым из участников ALT Linux Team (ключом из пакета alt-gpgkeys) без импорта ключей в свой keyring:
linux$ GNUPGHOME=/usr/lib/alt-gpgkeys git verify-tag $(git tag --points-at HEAD) gpg: WARNING: unsafe ownership on homedir '/usr/lib/alt-gpgkeys' gpg: Signature made Fri 11 Nov 2022 12:24:11 AM MSK gpg: using RSA key D03E0FF83BD31283 gpg: Good signature from "Kernel Bot <kernelbot@altlinux.org>" [unknown]
Убедитесь в наличии строки "Good signature".