诸位从 download.proxmox.com 上下载 CT 的时候是怎么校验文件的?这个站没有 https

337 天前
 Radeon

我是先对一下 download.proxmox.com 上的.aplinfo 文件里的 SHA512 。然后再 google 同样的 aplinfo 文件,全世界也找不到几个,好在都是一样的

诸位有更靠谱的方法吗?

848 次点击
所在节点    LXC
5 条回复
Radeon
337 天前
难道大家都是在 Web GUI 里点一下“download”就不管了? 那用的可是 http 连接,不安全的 ...
Projection
337 天前
.asc 后缀的文件是 GPG 签名,需要从可信的地方(比如官方 HTTPS 站点)获得发布者的指纹来验证。

使用 HTTP 很普遍啊,很多 Linux 发行版的软件包仓库都是使用 HTTP + GPG 的方式来保证完整性和安全性的。(虽然现在似乎有向 HTTPS 迁移的趋势)
asdgsdg98
337 天前
没关注过,下了就用
deorth
337 天前
本地劫持了这个域名,302 跳转到清华源去
Radeon
337 天前
@Projection 感谢,在你的提示下,我发现了:

在 CT 目录 http://download.proxmox.com/images/system/ 下没有 asc ,但是在上一级目录 http://download.proxmox.com/images/ 有。其中 aplinfo-pve-*.dat.gz 解压以后有 SHA512 ,再校验 aplinfo-pve-*.dat.asc 就行了。👍👍

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/943638

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX