Как проверить целостность Debian ISO?

10

Недавно я скачал Debian 7.5.0 Wheezy и смог использовать подпись Release.sig для проверки целостности файла контрольной суммы выпуска с помощью GPG4Win. К сожалению, я не смог найти никаких советов о том, где найти контрольную сумму md5 / SHA1 / SHA256 в файле Release, чтобы убедиться, что ISO правильный / не был поврежден / изменен. Не удалось найти никакой помощи относительно этой конкретной проблемы на сайтах поддержки. Я использую Windows 7, если это актуально.

Изменить: имя моего ISO-файла "debian-7.5.0-amd64-netinst". Другие версии можно найти здесь ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) и предлагают более простой способ проверки целостности благодаря этому файлу: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Мне нужно найти что-то подобное в файле релиза, который я проверил.

user295031
источник
Есть ли кто-нибудь, кто может мне помочь с этим? Поскольку это кажется очень сложным способом проверки целостности, я надеюсь на кого-то с большим опытом, чем у меня, чтобы ответить на этот вопрос.
user295031
В каком каталоге вы скачали свой файл? Лично я не стал бы беспокоиться о проверке целостности этого файла. Если с этим что-то не так, это будет очевидно, pdq.
Фахим Митха
Это с официального сайта. Моя версия amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, если он развертывает критически важную систему, то проверка целостности является обязательной. Я немного параноик, поэтому для меня это рутина даже для некритических систем.
псим
Кстати, вы даже можете использовать встроенную в установщик проверку целостности. Но только после проверки MD5 перед записью.
псим

Ответы:

7

Вам нужно убедиться, что хеш соответствует загруженному образу, а затем убедиться, что хеш был подписан официальным ключом Debian - как описано в этом сообщении в блоге .

  1. Загрузите образ компакт-диска, хэш SHA 512 и хэш-подпись. Неважно, откуда вы их взяли, из-за подписи, которую мы проверим ниже. Но вы можете получить его с сайта debian.org .
  2. Убедитесь, что хеш соответствует изображению (ни одна из этих команд не должна ничего печатать):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Убедитесь, что хэш правильно подписан. Вам, вероятно, придется сделать это дважды: один раз, чтобы получить идентификатор ключа, и снова после загрузки открытого ключа. Вывод команды должен выглядеть примерно так:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Убедитесь, что отпечаток ключа (последняя напечатанная строка) является допустимым. В идеале вы должны сделать это через сеть доверия . Однако вы можете проверить отпечаток ключа по ключам, перечисленным на безопасном веб-сайте Debian (HTTPS).

z0r
источник
Очень полезно. С уважением предлагаю вам добавить шаг между текущими шагами 1 и 2, чтобы прочитать что-то вроде: «Скопируйте соответствующую строку из хэша SHA 512 (если в указанном файле более одной строки) и вставьте ее в новый текстовый файл с именем SHA512SUMS. .текст." Затем, на вашем $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtшаге, предложите изменить ссылку на SHA512SUMS.txtфайл так, чтобы он ссылался на первоначально загруженный, неизмененный хеш-файл (файл со всеми исходными данными). Сказал, что предложенные изменения помешали бы мне спуститься в глубокую темную кроличью нору ...
Диггер
В шаге 2, какова цель сделать это так, как вы написали, по сравнению с sha512sum -c SHA512SUMS.txt?
cdhowie
@cdhowie без причины. Твой путь лучше; не стесняйтесь редактировать это
z0r
4

Посмотрите на http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/

Netinst ISO находится по адресу http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Вы можете найти md5sum в http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

Соответствующая строка:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
Фахим Митха
источник
Я бы предпочел использовать только тот ISO, который я уже скачал и который я проверял, используя подпись PGP.
user295031