Почему даны два типа форматов? - хз и лз
Только для удобства, чтобы люди могли скачать тот, для которого у них есть соответствующие инструменты. Помните, что большинство библиотек «linux» предназначены для использования и на других unix-подобных платформах (например, BSD, Solaris, AIX, даже OSX). Нельзя предполагать, что более современные инструменты, такие как xz, легко доступны на каждой платформе.
Мне нужен отдельный пакет утилит?
Да, сообщение об ошибке от tar говорит вам, что не может найти команду xz:
tar: xz: Cannot exec: No such file or directory
Вы правильно определили пакет для установки, xz-utils
. Если вы попытаетесь распаковать архив .lz, он пожалуется, что не может найти lzip
вместо этого (и вы установите пакет lzip).
Большой разницы нет, lzip — более старый стандарт LZMA, xz — более новый LZMA2. Ярлык «бета» всегда субъективен. В этом контексте я бы не беспокоился!
Для чего нужны файлы сигнатур?
Чтобы люди могли быть уверены, что скачанный ими архив был опубликован именно тем человеком, которого они ожидают. Это делается для защиты от возможности того, что хакер может получить доступ к сайту (или зеркалу), а затем добавить вредоносный код в исходники в архиве.
Как это проверить?
Вы хорошо поняли эту команду, но вам нужно понять, что вы должны сообщить GnuPG, каким ключам вы доверяете. Как правило, вы берете файлы открытого ключа (обычно .asc или .txt), опубликованные автором (авторами), и импортируете их в свою связку ключей gpg. На странице загрузок GnuTLS:
Все выпуски подписаны с помощью Nikos' или Ключ Саймона OpenPGP.
Таким образом, вы можете сделать что-то вроде:
wget -O- http://josefsson.org/key.txt | gpg --import
wget -O- http://members.hellug.gr/nmav/pgpkeys.asc | gpg --import
Другой способ — когда люди публикуют только свой идентификатор ключа RSA, который можно импортировать с общеизвестных серверов ключей gpg. Например, вы можете импортировать мой открытый ключ следующим образом:
gpg --recv-key 15C4D63E
Для большинства конфигураций gpg по умолчанию необходимо получить указанный ключ с общедоступного сервера ключей (вероятно, keys.gnupg.net).
После этого gpg должен сообщить о «хорошей подписи» от любого из этих авторов, но ожидайте, что он по-прежнему будет показывать предупреждение:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Это просто означает, что не существует цепочки доверия (основанной на ключах, которые вы пометили как доверенные в своей связке ключей), чтобы сказать, что это правильный ключ для указанного лица. Вместо этого это может быть ключ хакера.
В какой-то момент вы должны быть уверены, что ключ, который вы получаете, исходит от нужного человека, но что именно доверять и когда каждый человек должен исследовать и решать сам, исходя из вашего собственного уровня паранойи или текущих целей.
Лично я не проверяю исходные архивы, если только не планирую распространять что-то, созданное на их основе.
person
Will Daniels
schedule
30.06.2013