पैकेज और इंस्टॉल किए गए सॉफ़्टवेयर का सत्यापन
GPG के साथ हमारे पैकेजों की प्रामाणिकता की जाँच
हमारे सभी .deb और .rpm पैकेज तथा उनके checksums GPG कुंजियों का उपयोग करके क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित होते हैं। इससे सुनिश्चित होता है कि आप जो पैकेज डाउनलोड करते हैं वे हमारे द्वारा बनाए गए हैं और किसी तृतीय पक्ष द्वारा बदले या भ्रष्ट नहीं किए गए हैं। आप हमारे सार्वजनिक कुंजी का उपयोग करके किसी भी पैकेज की प्रामाणिकता आसानी से सत्यापित कर सकते हैं।
सभी प्रोजेक्ट का source code, संबंधित compiled executables, साथ ही .deb और .rpm पैकेज github.com पर रिलीज़ में प्रकाशित किए जाते हैं। उनके संबंधित हस्ताक्षर भी वहीं .sig फ़ाइलों में उपलब्ध हैं।
उदाहरण: https://github.com/dv-net/dv-merchant/releases/tag/v0.9.4
चरण 1: हमारी सार्वजनिक GPG कुंजी आयात करें
सबसे पहले, आपको हमारी सार्वजनिक कुंजी को अपने keychain (कीचेन) में आयात करना होगा। यह केवल एक बार करना होता है। हमारी कुंजी यहाँ प्रकाशित है: https://dv.net/gpg.pub
सार्वजनिक कुंजी को अपने सर्वर पर सहेजें:
curl https://dv.net/gpg.pub -o dv-net.ascफिर, इसे अपने keychain में आयात करें:
gpg --import dv-net.ascचरण 2: पैकेज के हस्ताक्षर का सत्यापन करें
कुंजी आयात करने के बाद, आप डाउनलोड किए गए किसी भी पैकेज के हस्ताक्षर सत्यापित कर सकते हैं।
.deb पैकेजों के लिए (Debian/Ubuntu)
किसी .deb पैकेज को सत्यापित करने के लिए dpkg-sig कमांड का उपयोग करें। यदि यह इंस्टॉल नहीं है, तो आप इसे sudo apt-get install dpkg-sig के साथ इंस्टॉल कर सकते हैं।
dpkg-sig --verify package_name.debयदि हस्ताक्षर मान्य है, तो आउटपुट में एक विश्वसनीय कुंजी से GOODSIG स्टेटस दिखाई देगा।
.rpm पैकेजों के लिए (Fedora/CentOS/RHEL)
किसी .rpm पैकेज को सत्यापित करने के लिए rpm कमांड का उपयोग करें।
rpm --checksig package_name.rpmयदि हस्ताक्षर सही है, तो कमांड के आउटपुट में दिखेगा कि सभी जाँच (जिसमें gpg शामिल है) सफलतापूर्वक पास हो गई हैं (OK)।
इन सरल चरणों का पालन करके आप हमारे सॉफ़्टवेयर पैकेजों की अखंडता और प्रामाणिकता सुनिश्चित कर सकते हैं।