安装前外部deb软件包的SHA1验证

Question

我有一个.deb文件及其SHA1校验和信息。

如何在安装前使用此校验和检查.deb文件的真实性？

Google上有很多关于“如何验证已安装的软件包的校验和”的条目，这是令人难以置信的无用之处，但在安装前却没有检查。如果你能解释为什么人们在安装文件后检查文件的话，你就可以得到额外的分数。

Answer 1

若要检查您的包是否与您拥有的SHA1和匹配，请运行

sha1sum /path/to/package.deb

并比较输出。

如果在表单的文件中包含了和

sum  package.deb

您可以运行sha1sum -c shafile直接检查和。

要确定包的真实性，需要确定SHA1和的真实性。

人们在安装后检查MD5和有多种原因；在我看来，有意义的是检查是否有非自愿的损坏(例如磁盘错误或操作符错误)。安装后可用的MD5和在包中提供，并在本地存储，因此它们不提供任何外部身份验证。

Answer 2

您可以使用sha1sum file.deb检查deb包。

安装文件后，人们正在检查它们。

如果修改了一个文件的总和，人们可以重新安装/删除这个包。可以使用debsums实用程序来完成此任务。