V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Radeon
V2EX  ›  LXC

诸位从 download.proxmox.com 上下载 CT 的时候是怎么校验文件的?这个站没有 https

  •  
  •   Radeon · 2023-05-28 17:26:44 +08:00 · 1131 次点击
    这是一个创建于 540 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我是先对一下 download.proxmox.com 上的.aplinfo 文件里的 SHA512 。然后再 google 同样的 aplinfo 文件,全世界也找不到几个,好在都是一样的

    诸位有更靠谱的方法吗?

    5 条回复    2023-05-28 19:42:31 +08:00
    Radeon
        1
    Radeon  
    OP
       2023-05-28 19:04:47 +08:00
    难道大家都是在 Web GUI 里点一下“download”就不管了? 那用的可是 http 连接,不安全的 ...
    Projection
        2
    Projection  
       2023-05-28 19:21:22 +08:00   ❤️ 1
    .asc 后缀的文件是 GPG 签名,需要从可信的地方(比如官方 HTTPS 站点)获得发布者的指纹来验证。

    使用 HTTP 很普遍啊,很多 Linux 发行版的软件包仓库都是使用 HTTP + GPG 的方式来保证完整性和安全性的。(虽然现在似乎有向 HTTPS 迁移的趋势)
    asdgsdg98
        3
    asdgsdg98  
       2023-05-28 19:35:04 +08:00
    没关注过,下了就用
    deorth
        4
    deorth  
       2023-05-28 19:39:39 +08:00 via Android
    本地劫持了这个域名,302 跳转到清华源去
    Radeon
        5
    Radeon  
    OP
       2023-05-28 19:42:31 +08:00
    @Projection 感谢,在你的提示下,我发现了:

    在 CT 目录 http://download.proxmox.com/images/system/ 下没有 asc ,但是在上一级目录 http://download.proxmox.com/images/ 有。其中 aplinfo-pve-*.dat.gz 解压以后有 SHA512 ,再校验 aplinfo-pve-*.dat.asc 就行了。👍👍
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:28 · PVG 04:28 · LAX 12:28 · JFK 15:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.