诸位从 download.proxmox.com 上下载 CT 的时候是怎么校验文件的?这个站没有 https
Radeon · 2023-05-28 17:26:44 +08:00 · 1093 次点击这是一个创建于 522 天前的主题,其中的信息可能已经有所发展或是发生改变。
我是先对一下 download.proxmox.com 上的.aplinfo 文件里的 SHA512 。然后再 google 同样的 aplinfo 文件,全世界也找不到几个,好在都是一样的
诸位有更靠谱的方法吗?
 |
1
Radeon OP 难道大家都是在 Web GUI 里点一下“download”就不管了? 那用的可是 http 连接,不安全的 ...
|
 |
2
Projection 2023-05-28 19:21:22 +08:00  1
.asc 后缀的文件是 GPG 签名,需要从可信的地方(比如官方 HTTPS 站点)获得发布者的指纹来验证。
使用 HTTP 很普遍啊,很多 Linux 发行版的软件包仓库都是使用 HTTP + GPG 的方式来保证完整性和安全性的。(虽然现在似乎有向 HTTPS 迁移的趋势) |
 |
3
asdgsdg98 2023-05-28 19:35:04 +08:00
没关注过,下了就用
|
 |
4
deorth 2023-05-28 19:39:39 +08:00 via Android
本地劫持了这个域名,302 跳转到清华源去
|
|
5
Radeon OP @Projection 感谢,在你的提示下,我发现了:
在 CT 目录 http://download.proxmox.com/images/system/ 下没有 asc ,但是在上一级目录 http://download.proxmox.com/images/ 有。其中 aplinfo-pve-*.dat.gz 解压以后有 SHA512 ,再校验 aplinfo-pve-*.dat.asc 就行了。👍👍 |
Select Language