neo4j 离线 rpm 未签名

【问题标题】:neo4j offline rpm aren't signedneo4j 离线 rpm 未签名
【发布时间】:2023-02-02 15:44:15
【问题描述】:

我们正在离线服务器上安装 Neo4j 社区的 4.x 版本。 我们关注了https://neo4j.com/docs/operations-manual/current/installation/linux/rpm/#linux-rpm-install-offline-install-download

https://dist.neo4j.org/rpm/ 提供的包裹似乎没有签名。

这正常吗??这对于这样的产品来说似乎很危险(我测试了几个版本,包括最新的企业版)

rpm -qip neo4j-enterprise-5.3.0-1.noarch.rpm
Name        : neo4j-enterprise
Version     : 5.3.0
Release     : 1
Architecture: noarch
Install Date: (not installed)
Group       : Unspecified
Size        : 226422290
License     : Proprietary
Signature   : (none)
Source RPM  : neo4j-enterprise-5.3.0-1.src.rpm
Build Date  : Thu Dec 15 14:35:50 2022
Build Host  : 385d2a9db634
Relocations : (not relocatable)
URL         : http://neo4j.com/
Summary     : Neo4j server is a database that stores data as graphs rather than tables.
Description :

Neo4j is a highly scalable, native graph database purpose-built to
leverage not only data but also its relationships.
  • 通过curl -O https://dist.neo4j.org/rpm/neo4j-enterprise-5.3.0-1.noarch.rpm下载然后用curl -O https://dist.neo4j.org/rpm/neo4j-enterprise-5.3.0-1.noarch.rpm检查包
  • 需要一个签名包
  • 得到一个未签名的包

【问题讨论】:

  • 你可以直接问neo4j,说here

标签: neo4j rpm


【解决方案1】:

如果您认为这很危险,这取决于提供者和您。构建或安装包时不需要对其进行签名。它实际上需要额外的努力才能签署。

当包未签名时,您可能会受到中间人攻击。

这与使用 HTTP 与 HTTPS 浏览网页时的情况相同。

我可以将未签名的包安装到开发人员临时 VM 中。我需要用于生产机器的签名包。

您应该要求 Neo4j 对包进行签名。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2020-06-21
    • 2017-05-31
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-11-11
    • 2020-04-30
    • 2021-08-22
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode