Equivalente de `rpm -K` usando` apt`

9

¿Cuál es el aptequivalente de rpm -K *.rpm, donde -Kse define como verificar la firma del repositorio en man rpmy en RPM máximas ?

Ejemplo de una situación:

sudo rpm --import https://mirrors.example.com/rpm/RPM-GPG-KEY-release &&
rpm -K example.rpm
debian  rhel  apt  rpm  gpg 
tsujp
fuente
44
dpkges el equivalente a rpmno apt. ¿Tiene un sistema .debque desea instalar pero desea verificar la integridad o está instalando algo desde sus repositorios?
kemotep
No tengo un .debsolo un rpm. Aunque podría usarlo alienpara convertirlo en un .debpensamiento. O más bien, he estado pero no correctamente, ya que cada vez que intenté verificar la firma (probablemente de forma incorrecta) recibo errores, etc.
tsujp
Bueno, eso es parte del problema. No mencionaste que estabas usando alien. No creo que pueda verificar las firmas, o si pudiera, altera el contenido del paquete para que la firma no coincida entre deby de rpmtodos modos. Como señala el usuario Stephen Kitt, si los mantenedores del paquete no utilizaron debsig-verifyla debversión de su software, el paquete no se firmará en primer lugar. Edite su pregunta para ser más específico a los pasos que está tomando para resolver sus problemas. Gracias.
kemotep

Respuestas:

8

El equivalente es debsig-verify, que verifica las firmas incrustadas en los .debpaquetes utilizando claves y políticas almacenadas localmente.

Desafortunadamente, esto no es útil en general porque los paquetes de Debian generalmente no se firman individualmente; de hecho, que yo sepa, los archivos de Debian rechazan las cargas firmadas individualmente. Debian firma repositorios en su conjunto, en lugar de paquetes individuales, lo que significa que los paquetes se pueden verificar a medida que se descargan, pero no necesariamente después. (Consulte ¿Cómo se garantiza la autenticidad de los paquetes de Debian? Para obtener detalles sobre la autenticación del repositorio). aptVerificará los paquetes antes de instalarlos, utilizando su información almacenada en caché localmente y las claves almacenadas localmente, pero no creo que haya una manera de pedirle que lo haga. verificar un paquete como una tarea separada.

Stephen Kitt
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.