كيفية التحقق من إصدارات خادم HTTP Apache ؟ - knows1-+ كيفية التحقق من إصدارات خادم HTTP Apache ؟ - knows1-+

كيفية التحقق من إصدارات خادم HTTP Apache ؟

كيفية التحقق من إصدارات خادم HTTP Apache ؟

apache download  apache ماهو  apache server تحميل   apache server  apache server download  سيرفر php  تحميل برنامج apache server من ميديا فاير  الاباتشي  appserv  xamppapache server for windows  apache helicopter  apache tomcat  apache score  apache for windows




- يتم توقيع  الإصدارات من قبل مدير الإصدار . تواقيع PGP وتجزئة SHA متوفرة مع التوزيع.

- لهذا يجب عليك تنزيل تواقيع PGP وتجزئة SHA

التحقق من التواقيع - HTTP Apache

********************

1- بتنزيل الأصدار : file_name-2.4.18.tar.gz

2-بتنزيل التوقيع : مثلاً :file_name.tar.gz.asc

يستخدم التحقق التطبيق التالي :  Guard  تعرف على استخدامه من هنا . ا



التحقق من صحة مفتاح PGP دون اتصال شخصي - HTTP Apache

***************************************

1- التحقق من التوقيع المنفصل .

 سوف نتحقق من file_name.tar.gz.asc مع  file_name-2.4.18.tar.gz .


$ gpg --verify file_name.tar.gz.asc file_name-2.4.18.tar.gz

 مثال :

$ gpg --verify httpd-2.4.39.tar.bz2.asc httpd-2.4.39.tar.bz2


$ gpg --verify httpd-2.4.39.tar.bz2.asc httpd-2.4.39.tar.bz2
gpg: Signature made 27 مار, 2019 CET 04:07:01 م
gpg:                using RSA key B9E8213AEFB861AF35A41F2C995E35221AD84DFF
gpg: Can't check signature: No public key


- ليس لدينا المفتاح العام No public key لمدير الإصدار في نظامنا المحلي .


2-  استرداد المفتاح العمومي من خادم المفاتيح : http://pgp.mit.edu/



$ sudo apt-get install dirmngr
$ gpg --keyserver pgpkeys.mit.edu --recv-key 123456ضع المفتاح بدل الرقم78

$ gpg --keyserver pgpkeys.mit.edu --recv-key B9E8213AEFB861AF35A41F2C995E35221AD84DFF
gpg: key 995E35221AD84DFF: 65 signatures not checked due to missing keys
gpg: key 995E35221AD84DFF: public key "Daniel Ruggeri (http://home.apache.org/~druggeri/) <druggeri@apache.org>" imported
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   3  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 3u
gpg: next trustdb check due at 2021-05-21
gpg: Total number processed: 1
gpg:               imported: 1


حتى اللحظة غير مؤكد أن هذا المفتاح ينتمي لمدير الأصدار , نحن بحاجة لتحقق مرة أخرى  .




 gpg --verify file_name.tar.gz.asc file_name-2.4.18.tar.gz

$ gpg --verify httpd-2.4.39.tar.bz2.asc httpd-2.4.39.tar.bz2
gpg: Signature made 27 مار, 2019 CET 04:07:01 م
gpg:                using RSA key B9E8213AEFB861AF35A41F2C995E35221AD84DFF
gpg: Good signature from "Daniel Ruggeri (http://home.apache.org/~druggeri/) <druggeri@apache.org>" [unknown]
gpg:                 aka "Daniel Ruggeri <DRuggeri@primary.net>" [unknown]
gpg:                 aka "[jpeg image of size 18442]" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: B9E8 213A EFB8 61AF 35A4  1F2C 995E 3522 1AD8 4DFF



 التوقيع جيدًا لكن لا ثقة في  المفتاح .


ماذا يعني ذالك ؟

لم يتم تحريف الملف , و لكن ما فائد إذا كان هذا الملف الغير محرف لشخص زائف !!!


 نحن بحاجة لتحقق أن المفتاح B9E8213AEFB861AF35A41F2C995E35221AD84DFF تم إنشاؤه من قبل مدير الإصدار الحقيق  .


كيف نتحقق من من صحة مفتاح ؟ . https://people.apache.org/keys/committer/

التحقق من صحة مفتاح :




$ gpg --list-sigs

pub   rsa2048 2011-06-16 [SCA] [expires: 2021-03-04]
      B9E8213AEFB861AF35A41F2C995E35221AD84DFF
uid           [ unknown] Daniel Ruggeri (http://home.apache.org/~druggeri/) <druggeri@apache.org>
sig          03C296949C1750C5 2017-05-26  [User ID not found]
sig 3  >  >      995E35221AD84DFF 2016-05-15  Daniel Ruggeri (http://home.apache.org/~druggeri/) <druggeri@apache.org>
sig          3F902C276ED9BE21 2017-01-10  [User ID not found]
sig          0A9DAF6713B86349 2017-05-18  [User ID not found]
sig          193F180AB55D9977 2018-03-13  [User ID not found]
sig          94D336A36D15930A 2016-05-23  [User ID not found]
sig          E4032DC4EF0CF38A 2017-05-17  [User ID not found]
sig          3FAAD2CD5ECBB314 2017-05-17  [User ID not found]
sig          62D48FAD16A0DE01 2016-05-24  [User ID not found]
sig          6F0CDAE700B6899D 2017-05-17  [User ID not found]
sig          A2AB081F26518FEE 2017-05-18  [User ID not found]
sig          9C49F42147085518 2017-05-26  [User ID not found]
sig 3        F3AD5C94A67F707E 2017-05-30  [User ID not found]
sig 3        C1EDBB9CA400FD50 2017-05-16  [User ID not found]




فعلا تم التوقيع و المفتاح يطابق التوقيع , ليكتمل اليقن لديك أذهب للموقع المصدر و أبحث عن صاحب التوقيع : https://people.apache.org/keys/committer/


وجدته : druggeri B9E8 213A EFB8 61AF 35A4 1F2C 995E 3522 1AD8 4DFF


يطابق المفتاح  الموجود لدي : B9E8213AEFB861AF35A41F2C995E35221AD84DFF


يمكنك الآن متابعة تجميع الخادم و أنت مطمئن أن الأمور على ما يرام .



 و لكن يجب عليك التعرف كيف تتحقق من صحة الملفات sha256 + .tar.bz2 بعدما تحققت من صحة التوقيع و هو ما يعوف بالمجموع تابع الموضوع التالي .

  .تأكد أيضاً من الموقع : https://www.apache.org/dist/httpd/httpd-2.4.39.tar.bz2.sha256

كيفية التحقق من الملفات التي تم تحميلها على Linux ؟



--------------

أكتب سؤالك هنا -

هل تريد معرفة المزيد ؟، التوسع في الموضوع

ana