Tại sao có hai loại định dạng được cung cấp? - xz và lz
Chỉ để thuận tiện, để mọi người có thể tải xuống ứng dụng có sẵn công cụ phù hợp/cài đặt. Hãy nhớ rằng hầu hết các thư viện 'linux' được dự định để sử dụng trên các nền tảng giống Unix khác (ví dụ: BSD, Solaris, AIX, OSX). Nó không thể được giả định rằng các công cụ gần đây hơn như xz có sẵn trong mọi nền tảng.
Tôi cần gói tiện ích riêng biệt?
Có, thông báo lỗi từ tar đang nói với bạn rằng nó không thể tìm thấy lệnh xz:
tar: xz: Cannot exec: No such file or directory
Bạn xác định một cách chính xác các gói cài đặt, xz-utils
. Nếu bạn đã cố giải nén tệp .lz, nó sẽ đồng ý rằng nó không thể tìm thấy lzip
thay thế (và bạn sẽ cài đặt gói lzip).
Không có nhiều khác biệt, lzip là tiêu chuẩn LZMA cũ hơn, xz là LZMA2 mới hơn. Nhãn 'beta' luôn chủ quan. Trong bối cảnh này tôi sẽ không lo lắng!
Tại sao có tệp chữ ký?
Để mọi người có thể chắc chắn bản lưu trữ mà họ tải xuống đã được xuất bản bởi người mà họ mong đợi. Đó là để bảo vệ chống lại khả năng rằng một hacker có thể truy cập vào trang web (hoặc một tấm gương) sau đó thêm một số mã độc hại vào các nguồn trong kho lưu trữ.
Cách xác minh?
Bạn nhận được lệnh đó tốt, nhưng điều bạn cần hiểu là bạn phải nói cho GnuPG biết chìa khóa nào bạn tin cậy. Thông thường, bạn sẽ lấy các khóa công khai (thường là .asc hoặc .txt) được các tác giả xuất bản và nhập chúng vào khóa gpg của bạn. Trên trang tải xuống GnuTLS:
Tất cả các bản phát hành được ký bằng Nikos' hoặc Simon's Khóa OpenPGP.
Vì vậy, bạn có thể làm điều gì đó như:
wget -O- http://josefsson.org/key.txt | gpg --import
wget -O- http://members.hellug.gr/nmav/pgpkeys.asc | gpg --import
Một cách khác là khi người ta công bố chỉ RSA chính ID của họ, có thể được nhập khẩu từ keyservers gpg thường được gọi. Ví dụ: bạn có thể nhập khóa công khai của tôi như sau:
gpg --recv-key 15C4D63E
Đối với hầu hết các cấu hình gpg mặc định, nên lấy khoá được chỉ định từ máy chủ khóa công khai (có thể là keys.gnupg.net).
Sau đó, gpg phải báo cáo một 'chữ ký tốt' từ một trong những tác giả, nhưng hy vọng nó vẫn để hiển thị một cảnh báo:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
này chỉ có nghĩa rằng có tồn tại không có chuỗi tín nhiệm (dựa trên các khóa bạn đã đánh dấu là đáng tin cậy trong khóa của bạn) để nói rằng đây là khóa chính xác cho người có tên. Nó có thể là chìa khóa của một hacker thay vào đó. Tại một thời điểm nào đó, bạn phải tự tin rằng chìa khóa bạn có được đến từ đúng người, nhưng chính xác điều gì để tin tưởng và khi nào thì mỗi người nghiên cứu và tự quyết định dựa trên mức độ hoang tưởng của riêng bạn, hoặc mục đích hiện tại.
Cá nhân, tôi không bận tâm để xác minh lưu trữ nguồn trừ khi tôi dự định phân phối lại thứ gì đó được xây dựng từ chúng.
Kẻ tấn công có thể dễ dàng thay đổi các tập tin chữ ký. –
@MatthewMitchell Chắc chắn, kẻ tấn công có thể thay đổi các tập tin chữ ký, nhưng không thể dễ dàng giả mạo một chữ ký hợp lệ cho một khóa mà họ không kiểm soát. Đây là lý do tại sao khóa công khai thường được xuất bản thông qua một máy chủ lưu trữ khác hoặc máy chủ khóa công khai. Đó cũng là lý do tại sao tốt nhất bạn nên thêm chúng một lần vào các khóa đáng tin cậy của mình và tại sao mọi người truy cập vào các khóa của nhau, vv để xây dựng một trang web tin cậy, để mọi người không cần phải chấp nhận một cách mù quáng rằng khóa được xuất bản trên trang web là chính xác cho tác giả được xác nhận quyền sở hữu. –