Jak zweryfikować integralność ISO Debiana?

10

Niedawno pobrałem Debian 7.5.0 Wheezy i udało mi się użyć podpisu Release.sig do sprawdzenia integralności pliku sumy kontrolnej wydania za pomocą GPG4Win. Niestety nie mogłem znaleźć porady, gdzie znaleźć sumę kontrolną md5 / SHA1 / SHA256 w pliku Release, aby sprawdzić, czy ISO jest poprawne / nie zostało uszkodzone / zmanipulowane. Nie można również znaleźć pomocy dotyczącej tego konkretnego problemu na stronach pomocy technicznej. Korzystam z systemu Windows 7, jeśli jest to istotne.

Edycja: Nazwa mojego pliku ISO to „debian-7.5.0-amd64-netinst”. Inne wersje można znaleźć tutaj ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) i oferują łatwiejszy sposób weryfikacji integralności dzięki temu plikowi: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Muszę znaleźć coś takiego w zweryfikowanym pliku Release.

użytkownik295031
źródło
Czy jest ktoś, kto może mi w tym pomóc? Ponieważ wydaje się to bardzo skomplikowanym sposobem weryfikacji uczciwości, mam nadzieję na kogoś z większym doświadczeniem niż muszę odpowiedzieć na to pytanie.
user295031
Jaki jest katalog, z którego pobrałeś swój plik? Osobiście nie martwiłbym się sprawdzeniem integralności tego pliku. Jeśli coś jest nie tak, będzie to widoczne pdq.
Faheem Mitha
To jest z oficjalnej strony. Moja wersja jest amd64: debian.org/distrib/netinst
user295031
2
@ FaheemMitha, jeśli wdraża system o znaczeniu krytycznym, sprawdzanie integralności jest koniecznością. Jestem trochę paranoikiem, więc jest to dla mnie rutyna nawet w przypadku systemów niekrytycznych.
psimon
Przy okazji możesz nawet użyć wbudowanego narzędzia do sprawdzania integralności instalatora. Ale dopiero po zweryfikowaniu go za pomocą MD5 przed nagraniem.
psimon

Odpowiedzi:

7

Musisz sprawdzić, czy skrót pasuje do pobranego obrazu, a następnie sprawdzić, czy skrót został podpisany oficjalnym kluczem Debiana - jak wyjaśniono w tym poście na blogu .

  1. Pobierz obraz dysku CD, skrót SHA 512 i podpis skrótu. Nie ma znaczenia, skąd je masz, ze względu na podpis, który zweryfikujemy poniżej. Ale możesz go pobrać z debian.org .
  2. Sprawdź, czy skrót pasuje do obrazu (żadne z tych poleceń nie powinno niczego drukować):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Sprawdź, czy skrót jest poprawnie podpisany. Prawdopodobnie będziesz musiał to zrobić dwa razy: raz, aby uzyskać identyfikator klucza, i ponownie po pobraniu klucza publicznego. Dane wyjściowe polecenia powinny wyglądać podobnie do tego:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Sprawdź, czy kluczowy odcisk palca (ostatni wydrukowany wiersz) jest prawidłowy. Najlepiej byłoby to zrobić za pośrednictwem sieci zaufania . Możesz jednak sprawdzić odcisk palca klucza względem kluczy wymienionych na bezpiecznej stronie internetowej Debiana (HTTPS).

z0r
źródło
Bardzo pomocny. Z szacunkiem sugerujemy dodanie kroku między bieżącymi krokami 1 i 2, aby przeczytać coś takiego: „Skopiuj odpowiedni wiersz z skrótu SHA 512 (jeśli wymieniony plik ma więcej niż jedną linię) i wklej go do nowego pliku tekstowego o nazwie SHA512SUMS .tekst." Następnie w swoim $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtkroku zasugeruj zmianę odwołania do SHA512SUMS.txtpliku, tak aby odwoływał się on do oryginalnie pobranego, niezmienionego pliku skrótu (zawierającego wszystkie oryginalne dane). Powiedział, że sugerowane zmiany uniemożliwiłyby mi zejście do głębokiej, ciemnej króliczej nory ...
Digger
W kroku 2, co jest celem robi to tak, jak napisałem w porównaniu sha512sum -c SHA512SUMS.txt?
cdhowie
@cdhowie bez powodu. Twoja droga jest lepsza; możesz go edytować
z0r,
4

Spójrz na http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Netinst ISO znajduje się na stronie http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Możesz znaleźć md5sum w http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

Odpowiednia linia to:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
Faheem Mitha
źródło
Wolałbym używać tylko ISO, które już pobrałem i które zweryfikowałem przy użyciu podpisu PGP.
user295031