文件记录8.3.6. 验证包裹真实性
系统升级是非常敏感的操作,您确实希望确保只安装 Kali 存储库中的官方软件包。 如果您使用的 Kali 镜像遭到破坏,计算机破解者可能会尝试将恶意代码添加到原本合法的软件包中。 如果安装了这样的软件包,则可以执行破解者设计的任何操作,包括泄露密码或机密信息。 为了规避这种风险,Kali 提供了防篡改密封,以在安装时保证软件包确实来自其官方维护者并且没有被第三方修改。
印章与加密哈希链和签名一起使用。 签名文件是 发布 文件,由 Kali 镜像提供。 它包含一个列表 文件(包括它们的压缩形式, 包.gz 和 包.xz、增量版本),以及它们的 MD5、SHA1 和 SHA256 哈希值,以确保文件未被篡改。 这些
软件包文件包含镜像上可用的 Debian 软件包列表及其散列值,从而确保软件包本身的内容也没有被更改。
受信任的密钥由 apt键 命令在 根据 包裹。 该程序维护一个 GnuPG 公钥的密钥环,用于验证 发布.gpg 镜像上可用的文件。 可用于手动添加新密钥(需要非官方镜像时)。 然而,通常只需要官方的 Kali 密钥。 这些密钥由系统自动更新。 卡利档案钥匙圈 包(将相应的钥匙圈放入 /etc/apt/trusted.gpg.d)。 然而,这个特定包的第一次安装需要小心:即使包像任何其他包一样签名,签名也不能从外部验证。 因此,谨慎的管理员应该在信任他们安装新软件包之前检查导入密钥的指纹:
# apt-key 指纹
/etc/apt/trusted.gpg.d/debian-archive-jessie-automatic.gpg
-------------------------------------------------- -------- pub 4096R/2B90D010 2014-11-21 [过期:2022-11-19]
密钥指纹 = 126C 0D24 BD8A 2942 CC7D F8AC 7638 D044 2B90 D010
uid Debian 存档自动签名密钥 (8/jessie)[电子邮件保护]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-security-automatic.gpg
-------------------------------------------------- ----------------- pub 4096R/C857C906 2014-11-21 [过期:2022-11-19]
密钥指纹 = D211 6914 1CEC D440 F2EB 8DDA 9D6D 8F6B C857 C906
uid Debian 安全存档自动签名密钥 (8/jessie)[电子邮件保护]>
/etc/apt/trusted.gpg.d/debian-archive-jessie-stable.gpg
-------------------------------------------------- ----- pub 4096R/518E17E1 2013-08-17 [过期:2021-08-15]
密钥指纹 = 75DD C3C4 A499 F1A1 8CB5 F3C8 CBF8 D6FD 518E 17E1
uid Jessie 稳定版本密钥[电子邮件保护]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-automatic.gpg
-------------------------------------------------- --------- pub 4096R/473041FA 2010-08-27 [过期:2018-03-05]
密钥指纹 = 9FED 2BCB DCD2 9CDF 7626 78CB AED4 B06F 4730 41FA
uid Debian Archive 自动签名密钥 (6.0/squeeze)[电子邮件保护]>
/etc/apt/trusted.gpg.d/debian-archive-squeeze-stable.gpg
-------------------------------------------------- ------ pub 4096R/B98321F9 2010-08-07 [过期:2017-08-05]
密钥指纹 = 0E4E DE2C 7F3E 1FC0 D033 800E 6448 1591 B983 21F9
uid 挤压稳定释放密钥[电子邮件保护]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-automatic.gpg
-------------------------------------------------- -------- pub 4096R/46925553 2012-04-27 [过期:2020-04-25]
密钥指纹 = A1BD 8E9D 78F7 FE5C 3E65 D8AF 8B48 AD62 4692 5553
uid Debian Archive 自动签名密钥 (7.0/wheezy)[电子邮件保护]>
/etc/apt/trusted.gpg.d/debian-archive-wheezy-stable.gpg
-------------------------------------------------- ----- pub 4096R/65FFB764 2012-05-08 [过期:2019-05-07]
密钥指纹 = ED6D 6527 1AAC F0FF 15D1 2303 6FB2 A1C2 65FF B764
uid Wheezy 稳定版密钥[电子邮件保护]>
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
密钥指纹 = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid Kali Linux 存储库[电子邮件保护]> 子 4096R/FC0D0DCB 2012-03-05 [过期: 2018-02-02]
/etc/apt/trusted.gpg.d/kali-archive-keyring.gpg
-----------------------------------------------
pub 4096R/7D8D0BF6 2012-03-05 [expires: 2018-02-02]
密钥指纹 = 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid Kali Linux 存储库[电子邮件保护]> 子 4096R/FC0D0DCB 2012-03-05 [过期: 2018-02-02]
当第三方包源添加到 sources.list文件 文件,需要告诉 APT 信任相应的 GPG 身份验证密钥(否则它会一直抱怨它无法确保来自该存储库的包的真实性)。 第一步当然是获取公钥。 通常情况下,密钥将作为一个小的文本文件提供,我们称之为 键.asc 在下面的例子中。
要将密钥添加到受信任的密钥环,管理员可以运行 apt-key add < key.asc. 另一种方法是使用 突触 图形界面:它的身份验证选项卡在 个人设置
→ 库 菜单提供了从 键.asc 文件中。
对于喜欢专用应用程序和有关受信任密钥的更多详细信息的人,可以使用 gui-apt-key (在同名包中),一个管理可信密钥环的小型图形用户界面。
一旦合适的密钥在密钥环中,APT 将在任何危险操作之前检查签名,因此如果要求安装一个无法确定其真实性的包,前端将显示警告。