在过去的六个月里,pacman 的软件包验证功能默认情况下被禁用,因为我们正在研究公钥基础设施的细节。
这些功能最终已在 pacman-4.0.3-2 中启用;当你升级时,你将被提示运行
pacman-key --init
pacman-key --populate archlinux
这会为 pacman 设置一个本地密钥环,并使用验证官方软件包所需的数据填充它。 这包括五个主密钥,用于验证 Arch Linux 打包者(开发者和受信任用户)。 因此你不需要知道谁加入或离开团队:你只需要一劳永逸地验证这五个主密钥。 populate 命令会提示你这样做;请谨慎地执行此操作,通过对照我们网站上发布的指纹来检查显示的指纹。
然后,将你的 pacman.conf 与 pacman.conf.pacnew 合并,也就是说,通过 SigLevel 选项启用软件包验证,这样你就一切就绪了。
有关 pacman 和 archlinux-keyring 开发的详细信息,请参阅 Allan 和 Pierre 的博客文章。