今回はソースをダウンロードしてその正当性を確認したいと思います。
OSはCentOS6.5 minimalです。
minimalだと何もない状態なので必要に応じて、パッケージもインストールしていきます。まずはwgetがないとソースのダウンロードもできないのでインストール。
wgetインストール
# yum -y install wget # rpm -qa | grep wget wget-1.12-1.11.el6_5.x86_64
apache2.4.9のソースダウンロード
# cd /usr/local/src/ # wget http://ftp.riken.jp/net/apache//httpd/httpd-2.4.9.tar.gz
今までダウンロードしたソフトの正当性とかあまり確認してませんでしたが、OSSを使う上でこういった知識も必要だと思いますので、まじめに確認してみたいと思います。
※詳細な説明は下記の参照先を参考にしてください。
MD5による検証
・MD5チェックサムを入手
# wget http://www.apache.org/dist/httpd/httpd-2.4.9.tar.gz.md5
・目視確認
チェックサムの値が一致していれば正当性の確認OK
# md5sum -b httpd-2.4.9.tar.gz cad66480140a4444ec0af5bf037c73e1 *httpd-2.4.9.tar.gz # cat httpd-2.4.9.tar.gz.md5 cad66480140a4444ec0af5bf037c73e1 *httpd-2.4.9.tar.gz
・自動確認
# md5sum -c httpd-2.4.9.tar.gz.md5 httpd-2.4.9.tar.gz: OK
PGPによる検証
・GnuPG設定ファイルの初期化
# gpg --list-keys
・公開鍵自動取得の設定
# vi ~/.gnupg/gpg.conf #以下コメントを外す(公開鍵サーバから自動的に取得できる) keyserver-options auto-key-retrieve
・公開鍵の手動インポート
Apacheの場合は公開鍵を入手して手動でインポートします。
# wget http://www.apache.org/dist/httpd/KEYS # gpg --import KEYS
・ApacheのダウンロードページからPGP電子署名をダウンロード
# wget http://www.apache.org/dist/httpd/httpd-2.4.9.tar.gz.asc
・署名の正当性を確認
# gpg --verify httpd-2.4.9.tar.gz.asc ※Good signature fromと表示されれば署名により検証できたことが確認できる
参考;http://www.atmarkit.co.jp/ait/articles/1106/17/news138.html
