C'est le moment de vérifier ce que vous avez downloadé.
Pensez à utiliser gnupg pour vérifier la signature du md5sum. La conception de pgp/gnupg est une petite merveille d'intelligence. Malheureusement, c'est un peu lourd a utiliser dans le cadre du site ftp.gnu.org car les fichiers doit être signés manuellement un par un par une personne de confiance.
Je ne peux que très chaudement vous recommender de vous familliariser avec gnupg : http://www.gnupg.org/(...)
C'est pas trivial au début mais ça finit par rentrer.
N'oubliez pas que les rpm (les .deb aussi ?) sont souvent signés.
Faite un "rpm --checksig toto.rpm" pour être sûre de la provenance d'un paquet.
Les signatures des distributions sont généralement dans /usr/share/doc/rpm-...
Il faut importer la signature dans rpm avec "rpm --import" avant de pourvoir vérifier la signature d'un paquet. Attention, c'est de votre responsabilité de vérifier que la signature est digne de confiance. C'est pour celà qu'elle n'est pas importée d'origine.
# Re: ftp.gnu.org piraté
Posté par ptit_tux . En réponse à la dépêche ftp.gnu.org compromis. Évalué à 6.
http://lwn.net/Articles/44402/(...)
C'est le moment de vérifier ce que vous avez downloadé.
Pensez à utiliser gnupg pour vérifier la signature du md5sum. La conception de pgp/gnupg est une petite merveille d'intelligence. Malheureusement, c'est un peu lourd a utiliser dans le cadre du site ftp.gnu.org car les fichiers doit être signés manuellement un par un par une personne de confiance.
Je ne peux que très chaudement vous recommender de vous familliariser avec gnupg :
http://www.gnupg.org/(...)
C'est pas trivial au début mais ça finit par rentrer.
N'oubliez pas que les rpm (les .deb aussi ?) sont souvent signés.
Faite un "rpm --checksig toto.rpm" pour être sûre de la provenance d'un paquet.
Les signatures des distributions sont généralement dans /usr/share/doc/rpm-...
Il faut importer la signature dans rpm avec "rpm --import" avant de pourvoir vérifier la signature d'un paquet. Attention, c'est de votre responsabilité de vérifier que la signature est digne de confiance. C'est pour celà qu'elle n'est pas importée d'origine.