Як перевірити цілісність ISO Debian?

10

Нещодавно я завантажив Debian 7.5.0 Wheezy і мені вдалося використовувати підпис Release.sig для перевірки цілісності файлу контрольної суми випуску за допомогою GPG4Win. На жаль, я не зміг знайти жодних порад щодо того, де знайти контрольну суму md5 / SHA1 / SHA256 у файлі Release, щоб переконатися, що ISO правильний / не пошкоджений / маніпульований. Не вдалося знайти жодної допомоги щодо цієї конкретної проблеми на сайтах підтримки. Я використовую Windows 7, якщо це доречно.

Редагувати: Ім'я мого ISO-файлу - "debian-7.5.0-amd64-netinst". Інші версії можна знайти тут ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) і запропонувати простіший спосіб перевірити цілісність через цей файл: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Мені потрібно знайти щось подібне у файлі випуску, який я перевірив.

debian  checksum  integrity 
користувач295031
джерело
Чи є хтось, хто може мені в цьому допомогти? Оскільки це здається дуже складним способом перевірки цілісності, я сподіваюся, що хтось із більшим досвідом, ніж мені доведеться відповісти на це питання.
користувач295031
Що таке каталог, з якого ви завантажили свій файл? Особисто я не переживаю за те, щоб перевірити цілісність цього файлу. Якщо з цим щось не так, це буде очевидний pdq.
Faheem Mitha
Це з офіційного сайту. Моя версія amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, якщо він розгортає критично важливу систему, то перевірка цілісності є обов'язковою. Я трохи параноїк, тому для мене це рутина навіть для некритичних систем.
psimon
До речі, ви навіть можете використовувати вбудовану в інструмент перевірки цілісності інсталятора. Але лише після того, як ви перевірили його за допомогою MD5 перед записом.
psimon

Відповіді:

7

Вам потрібно переконатися, що хеш відповідає завантаженому зображенню, а потім переконатися, що хеш був підписаний офіційним ключем Debian - як пояснено в цій публікації блогу .

  1. Завантажте свій образ на CD, хеш SHA 512 та хеш-підпис. Не має значення, звідки ви їх отримуєте, через підпис, який ми перевіримо нижче. Але ви можете отримати це з debian.org .

  2. Переконайтеся, що хеш відповідає зображенню (жодна з цих команд нічого не повинна друкувати):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt

  3. Перевірте, чи правильно підписано хеш. Напевно, вам доведеться це зробити двічі: один раз, щоб отримати ідентифікатор ключа, і знову після завантаження відкритого ключа. Вихід команди повинен виглядати приблизно так:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

  4. Переконайтесь, що відбиток ключа (останній надрукований рядок) є законним. В ідеалі ви повинні зробити це через мережу довіри . Однак ви можете перевірити відбиток ключа від клавіш, перелічених на захищеному веб-сайті Debian (HTTPS).

z0r
джерело
Дуже корисний. З повагою пропоную вам додати крок між вашими поточними кроками 1 і 2, щоб прочитати щось на кшталт: "Скопіюйте відповідний рядок з хеша SHA 512 (якщо в цьому файлі є більше одного рядка) і вставити його в новий текстовий файл під назвою SHA512SUMS .txt. " Далі, на своєму $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtкроці, запропонуйте вам змінити посилання на SHA512SUMS.txtфайл таким чином, щоб він посилався на первісно завантажений незмінний хеш-файл (той із усіма вихідними даними). Сказав, що запропоновані зміни завадили б мені спуститися в глибоку темну яру із кролика ...
Digger
На кроці 2, яка мета зробити це так, як ви написали проти sha512sum -c SHA512SUMS.txt?
cdhowie
@cdhowie немає причин. Ваш шлях кращий;
z0r
4

Подивіться на http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Netinst ISO знаходиться за адресою http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Ви можете знайти md5sum на веб- сторінці http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

Відповідний рядок:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
Faheem Mitha
джерело
Я вважаю за краще використовувати лише ISO, який я вже завантажив, і який я підтвердив, використовуючи підпис PGP.
користувач295031
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.