安全的安装PuTTY 0.70
为什么安装一个软件要这么麻烦?
安全事件:2012年1月PuTTY后门事件
这是我(@胡争辉)亲身经历的事件,同事春节回家期间在网吧(呵呵),用XX搜索引擎(呵呵),搜索PuTTY第一个是推广广告(呵呵),下载。
安全事件:2017年8月15日xshell多版本后门事件
目前除官方最新版本1326外,国内主流下载站上的 5.0.1322、 5.0.1325均确认存在后门
后门干什么?
直接把服务器的用户名和密码偷走,然后就可以兴风作浪了
访问密钥页面获取密钥下载链接
https://www.chiark.greenend.org.uk/~sgtatham/putty/keys.html
Master Key
https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/master-2015.asc
RSA, 4096-bit. Key ID: 4096R/04676F7C (long version: 4096R/AB585DC604676F7C).
Fingerprint: 440D E3B5 B7A1 CA85 B3CC 1718 AB58 5DC6 0467 6F7C
Release Key
https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/release-2015.asc
RSA, 2048-bit. Key ID: 2048R/B43434E4 (long version: 2048R/9DFE2648B43434E4).
Fingerprint: 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
Secure Contact Key
https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/contact-2016.asc
RSA, 2048-bit. Main key ID: 2048R/8A0AF00B (long version: 2048R/C4FCAAD08A0AF00B).
Encryption subkey ID: 2048R/50C2CF5C (long version: 2048R/9EB39CC150C2CF5C).
Fingerprint: 8A26 250E 763F E359 75F3 118F C4FC AAD0 8A0A F00B
Snapshot Key
https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/snapshot-2015.asc
RSA, 2048-bit. Key ID: 2048R/D15F7E8A (long version: 2048R/EEF20295D15F7E8A).
Fingerprint: 0A3B 0048 FE49 9B67 A234 FEB6 EEF2 0295 D15F 7E8A
后面会需要核对这些指纹
下载密钥
下载Master Key
$ /usr/bin/wget https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/master-2015.asc
下载Release Key
$ /usr/bin/wget https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/release-2015.asc
下载Secure Contact Key
$ /usr/bin/wget https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/contact-2016.asc
下载Snapshot Key
$ /usr/bin/wget https://www.chiark.greenend.org.uk/~sgtatham/putty/keys/snapshot-2015.asc
导入密钥
导入 Master Key
$ /usr/bin/gpg --import master-2015.asc
gpg: 密钥 04676F7C:公钥“PuTTY Master Key <putty@projects.tartarus.org>”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1 (RSA: 1)
gpg: 没有找到任何绝对信任的密钥
导入 Release Key
$ /usr/bin/gpg --import release-2015.asc
gpg: 密钥 B43434E4:公钥“PuTTY Releases <putty@projects.tartarus.org>”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1 (RSA: 1)
gpg: 没有找到任何绝对信任的密钥
导入 Secure Contact Key
$ /usr/bin/gpg --import contact-2016.asc
gpg: 密钥 8A0AF00B:公钥“PuTTY Secure Contact <putty@projects.tartarus.org>”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1 (RSA: 1)
gpg: 没有找到任何绝对信任的密钥
导入 Snapshot Key
$ /usr/bin/gpg --import snapshot-2015.asc
gpg: 密钥 D15F7E8A:公钥“PuTTY Development Snapshots <putty@projects.tartarus.org>”已导入
gpg: 合计被处理的数量:1
gpg: 已导入:1 (RSA: 1)
gpg: 没有找到任何绝对信任的密钥
列出指纹
$ /usr/bin/gpg --fingerprint
pub 4096R/04676F7C 2015-08-31 [有效至:2018-08-30]
密钥指纹 = 440D E3B5 B7A1 CA85 B3CC 1718 AB58 5DC6 0467 6F7C
uid PuTTY Master Key <putty@projects.tartarus.org>pub 2048R/B43434E4 2015-08-31 [有效至:2018-08-30]
密钥指纹 = 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
uid PuTTY Releases <putty@projects.tartarus.org>pub 2048R/8A0AF00B 2016-02-23 [有效至:2019-02-22]
密钥指纹 = 8A26 250E 763F E359 75F3 118F C4FC AAD0 8A0A F00B
uid PuTTY Secure Contact <putty@projects.tartarus.org>
sub 2048R/50C2CF5C 2016-02-23 [有效至:2019-02-22]pub 2048R/D15F7E8A 2015-08-31 [有效至:2018-08-30]
密钥指纹 = 0A3B 0048 FE49 9B67 A234 FEB6 EEF2 0295 D15F 7E8A
uid PuTTY Development Snapshots <putty@projects.tartarus.org>
与前面记录的指纹核对
访问下载页面获取下载链接
MSI (‘Windows Installer’)
64-bit:
https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.70-installer.msi
64-bit: (signature)
https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.70-installer.msi.gpg
Checksum files
MD5:
https://the.earth.li/~sgtatham/putty/latest/md5sums
MD5: (signature)
https://the.earth.li/~sgtatham/putty/latest/md5sums.gpg
SHA-1:
https://the.earth.li/~sgtatham/putty/latest/sha1sums
SHA-1: (signature)
https://the.earth.li/~sgtatham/putty/latest/sha1sums.gpg
SHA-256:
https://the.earth.li/~sgtatham/putty/latest/sha256sums
SHA-256: (signature)
https://the.earth.li/~sgtatham/putty/latest/sha256sums.gpg
SHA-512:
https://the.earth.li/~sgtatham/putty/latest/sha512sums
SHA-512: (signature)
https://the.earth.li/~sgtatham/putty/latest/sha512sums.gpg
下载 64-bit: 程序
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.70-installer.msi
下载 64-bit: (signature) 程序
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/w64/putty-64bit-0.70-installer.msi.gpg
较验程序文件签名
$ /usr/bin/gpg --verify putty-64bit-0.70-installer.msi.gpg putty-64bit-0.70-installer.msi
gpg: 于 2017年07月 8日 14:49:50 CST 创建的签名,使用 RSA,钥匙号 B43434E4
gpg: 完好的签名,来自于“PuTTY Releases <putty@projects.tartarus.org>”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
下载摘要文件及摘要文件签名
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/md5sums
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/md5sums.gpg
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/sha1sums
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/sha1sums.gpg
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/sha256sums
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/sha256sums.gpg
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/sha512sums
$ /usr/bin/wget https://the.earth.li/~sgtatham/putty/latest/sha512sums.gpg
校验摘要文件的签名
$ /usr/bin/gpg --verify md5sums.gpg
gpg: 于 2017年07月 8日 14:49:53 CST 创建的签名,使用 RSA,钥匙号 B43434E4
gpg: 完好的签名,来自于“PuTTY Releases <putty@projects.tartarus.org>”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
$ /usr/bin/gpg --verify sha1sums.gpg
gpg: 于 2017年07月 8日 14:49:53 CST 创建的签名,使用 RSA,钥匙号 B43434E4
gpg: 完好的签名,来自于“PuTTY Releases <putty@projects.tartarus.org>”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
$ /usr/bin/gpg --verify sha256sums.gpg
gpg: 于 2017年07月 8日 14:49:53 CST 创建的签名,使用 RSA,钥匙号 B43434E4
gpg: 完好的签名,来自于“PuTTY Releases <putty@projects.tartarus.org>”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
$ /usr/bin/gpg --verify sha512sums.gpg
gpg: 于 2017年07月 8日 14:49:53 CST 创建的签名,使用 RSA,钥匙号 B43434E4
gpg: 完好的签名,来自于“PuTTY Releases <putty@projects.tartarus.org>”
gpg: 警告:这把密钥未经受信任的签名认证!
gpg: 没有证据表明这个签名属于它所声称的持有者。
主钥指纹: 0054 DDAA 8ADA 15D2 768A 6DE7 9DFE 2648 B434 34E4
校验摘要文件
$ /usr/bin/grep $(/usr/bin/md5sum putty-64bit-0.70-installer.msi | /usr/bin/awk '{print $1}') md5sums.gpg
$ /usr/bin/grep $(/usr/bin/sha1sum putty-64bit-0.70-installer.msi | /usr/bin/awk '{print $1}') sha1sums.gpg
$ /usr/bin/grep $(/usr/bin/sha256sum putty-64bit-0.70-installer.msi | /usr/bin/awk '{print $1}') sha256sums.gpg
$ /usr/bin/grep $(/usr/bin/sha512sum putty-64bit-0.70-installer.msi | /usr/bin/awk '{print $1}') sha512sums.gpg
安全的安装PuTTY 0.70相关推荐
- TensorFlow2.0正式版发布,极简安装TF2.0(CPUGPU)教程
作者 | 小宋是呢 转载自CSDN博客 [导读]TensorFlow 2.0,昨天凌晨,正式放出了2.0版本. 不少网友表示,TensorFlow 2.0比PyTorch更好用,已经准备全面转向这个新 ...
- cr材质库怎么安装_cr5.0安装没有材质库
回答: sketchup材质库怎么安装?sketchup在使用软件的过程中,常常因为设计的需要,需要导入原来软件中没有的材质库,比如:亮光木材.抛光砖以及磨砂玻璃等材质库.那么,sketchup材质库 ...
- 安装zabbix4.0+grafana
---------------------- 那些年我走过的坑们 ---------------------- 准备环境 首先 zabbix官方下载 zabbix官方产品手册 zabbix4.0软件包 ...
- 详解centos7虚拟机安装elasticsearch5.0.x-安装篇(自己做测试了,es启动有错误可以在这上面找)
本篇文章主要介绍了centos7虚拟机安装elasticsearch5.0.x-安装篇,具有一定的参考价值,感兴趣的小伙伴们可以参考一下. centos7虚拟机安装elasticsearch5.0.x ...
- CentOS 7下安装Tomcat8.0.53并设置自动启动:
CentOS 7下安装Tomcat8.0.53步骤: 在官网下载8.0.53版本 https://tomcat.apache.org/download-80.cgi 用ftp工具把压缩包上传到/usr ...
- centos7安装Mysql8.0步骤
CentOS7安装mysql8.0步骤 1.1 安装前清理工作: 1.1.1 清理原有的mysql数据库: 使用以下命令查找出安装的mysql软件包和依赖包: rpm -pa | grep mysql ...
- CentOS7安装MySQL8.0和Nginx
本文档包括使用 PHP-FPM 为 Nginx 1.4.x HTTP 服务器安装和配置 PHP 的说明和提示. 本指南假定您已经从源代码成功构建 Nginx,并且其二进制文件和配置文件都位于 /usr ...
- centos7利用yum安装mondb4.0
centos利用yum安装mondb4.0 1.编写配置文件 2.执行安装 3.开启远程连接 1.编写配置文件 创建配置文件执行命令: vim/vi /etc/yum.repos.d/mongodb- ...
- react native 0.70版本使用ant-design-mobile-rn及icons字体图标库
前言 本文基于 "react-native": "^0.70.0" "@ant-design/react-native": "^5 ...
最新文章
- mysql 锁语句_mysql-笔记 事务 锁 语句
- 输出 1-100 内的所有奇数
- Linux MySQL Connector/C++ 编程实例
- Linux-通过XShell使用sz命令提示找不到
- GPT v.s. 中国象棋:写过文章解过题,要不再来下盘棋?
- unityui等比例缩放_Unity 4.6-如何针对每种分辨率将GUI元素缩放到合适的大小
- Java 9中的HTTP / 2支持简介
- TypeError: __init__() got an unexpected keyword argument ‘任意数‘的原因及解决办法
- 【Flink】Flink 周期性 watermark 的 传播 AssignerWithPeriodicWatermarks
- 本科生、硕士生、博士生
- TP-LINK无线网卡免驱版 安装使用问题整理
- svchost.exe占用网速多
- Django——08.with语句,url标签, 解析特殊字符查verbatim
- MongoDB一篇从入门到实战
- av_dump_format
- 计算机键盘按键失灵,电脑键盘失灵怎么办?4个小技巧解决电脑键盘失灵问题...
- 洗礼灵魂,修炼python(82)--全栈项目实战篇(10)—— 信用卡+商城项目(模拟京东淘宝)...
- 《Learning Unsupervised Metaformer for Anomaly Detection》论文阅读笔记
- RetinaNet与点云聚类耦合的深度学习个体树分割方法研究
- 程序员百万高薪,写给准备转行的朋友:非科班出身,怎么成为程序员!(建议收藏)