Unter Linux gibt es ein Paket namens „ubuntu-keyring“ – es dient zur Überprüfung, ob die heruntergeladenen Pakete (aus den offiziellen Repositories) diejenigen sind, die sich auf dem Server befinden.
Wie kann ich das unter OpenBSD machen? Wie kann ich überprüfen, ob das heruntergeladene Paket (über pkg_add – aus dem offiziellen Repo) dasjenige ist, das sich auf dem Server befindet?
UPDATE:
ist rsync gut für den Job??
Akzeptierte Antwort:
OpenBSD-Pakete sind standardmäßig überhaupt nicht ‚signiert‘.
Wenn du OpenBSD im kommerziellen Umfeld verwendest, lasse deinen Arbeitgeber die Release-CD kaufen. Dann bekommst du eine OpenBSD-Veröffentlichung mit Paketen auf CD, denen du vertrauen kannst 🙂
Der bessere Weg, und wenn du OpenBSD ernsthaft verwendest, solltest du haben, ist, einen Build-Server zu haben. Synchronisiere OpenBSD-Ports von anoncvs – hier vertraust du ssh fingerprint, das öffentlich bekannt gegeben wird – dann baue deine eigenen Ports und signiere sie mit Zertifikat. Mit dem Tool `dpb‘ sollte es noch viel einfacher sein.
OpenBSD-Pakete sind für das Projekt als Ganzes von sekundärem Interesse.