Apache 2.4.9 構築 1 - ダウンロード

今回はソースをダウンロードしてその正当性を確認したいと思います。

OSはCentOS6.5 minimalです。
minimalだと何もない状態なので必要に応じて、パッケージもインストールしていきます。まずはwgetがないとソースのダウンロードもできないのでインストール。


wgetインストール

# yum -y install wget
# rpm -qa | grep wget
wget-1.12-1.11.el6_5.x86_64

 

apache2.4.9のソースダウンロード

# cd /usr/local/src/
# wget http://ftp.riken.jp/net/apache//httpd/httpd-2.4.9.tar.gz

今までダウンロードしたソフトの正当性とかあまり確認してませんでしたが、OSSを使う上でこういった知識も必要だと思いますので、まじめに確認してみたいと思います。
※詳細な説明は下記の参照先を参考にしてください。

 

MD5による検証

・MD5チェックサムを入手

# wget http://www.apache.org/dist/httpd/httpd-2.4.9.tar.gz.md5

・目視確認
チェックサムの値が一致していれば正当性の確認OK

# md5sum -b httpd-2.4.9.tar.gz 
cad66480140a4444ec0af5bf037c73e1 *httpd-2.4.9.tar.gz
# cat httpd-2.4.9.tar.gz.md5 
cad66480140a4444ec0af5bf037c73e1 *httpd-2.4.9.tar.gz

・自動確認

# md5sum -c httpd-2.4.9.tar.gz.md5
httpd-2.4.9.tar.gz: OK

 

PGPによる検証

・GnuPG設定ファイルの初期化

# gpg --list-keys

・公開鍵自動取得の設定

# vi ~/.gnupg/gpg.conf

#以下コメントを外す(公開鍵サーバから自動的に取得できる)
keyserver-options auto-key-retrieve 

・公開鍵の手動インポート
Apacheの場合は公開鍵を入手して手動でインポートします。

# wget http://www.apache.org/dist/httpd/KEYS
# gpg --import KEYS

・ApacheのダウンロードページからPGP電子署名をダウンロード

# wget http://www.apache.org/dist/httpd/httpd-2.4.9.tar.gz.asc

・署名の正当性を確認

# gpg --verify httpd-2.4.9.tar.gz.asc

※Good signature fromと表示されれば署名により検証できたことが確認できる

参考;http://www.atmarkit.co.jp/ait/articles/1106/17/news138.html