在过去的六个月里,pacman 的软件包验证功能默认是关闭的,因为我们正在处理公钥基础设施的细节。
它们终于在 pacman-4.0.3-2 中启用了;当您升级时,系统会提示您运行
pacman-key --init
pacman-key --populate archlinux
这会为 pacman 设置一个本地密钥环,并用所需的数据填充它,以便验证官方软件包。这包括五个用于验证 Arch Linux 打包人员(开发者和受信任用户)的主密钥,因此您无需知道谁加入或离开了团队:您只需一次性验证这五个主密钥即可。populate 命令会提示您这样做;请谨慎操作,将显示的指纹与我们网站上发布的指纹进行核对。
然后,将您的 pacman.conf 与 pacman.conf.pacnew 合并,即通过 SigLevel 选项启用软件包验证,一切就绪。
有关 pacman 和 archlinux-keyring 开发的详细信息,请参阅 Allan 和 Pierre 的博客文章。