我在本指南中给出的所有 yum 命令都必须从 root 提示符下运行,这样它们获取的软件包才能安装到您的系统空间中。这意味着您的系统可能存在被木马 RPM 感染的风险,木马 RPM 可能是插入到您查询的某个存储库中,或者是通过中间人攻击偷偷进入您和存储库之间的。
为了控制后一种风险,许多存储库对其 RPM 进行加密签名。您需要拥有每个存储库公钥的本地副本,以便对传入的软件包进行完整性检查;当前版本的 yum 将为您下载公钥。中间人攻击可能会通过欺骗存储库站点并在您设置配置时偷偷给您伪造的密钥来击败这种机制;虽然这种可能性极低,但您应该意识到它。
通过使用本指南中引用的专有代码,您接受的一个长期风险是变得依赖于专有软件供应商的突发奇想。您不必拥有过去那种自由软件的信仰也能看出这是一个问题。我们在这里将介绍的一些软件(Sun Java JDK 插件就是一个很好的例子)以闭源免费软件的形式分发——这当然很好,但是如果供应商将来改变主意会发生什么?您可能会陷入困境。
依赖于专有软件和专有格式是不安全的。当您允许自己依赖时,您也通过帮助供应商维持对其市场领域不健康的垄断锁定而损害了他人。因此,如果您必须购买这些工具,请找到某种方法来支持开源替代品——捐赠编码时间或现金,或者花精力向供应商施压要求他们开放。将您的 CD 翻录为 Ogg Vorbis 而不是 MP3。给您的立法者写信,敦促废除 DMCA。《您拯救的自由将是您自己的》。