Como verificar a integridade ISO do Debian?

10

Recentemente, baixei o Debian 7.5.0 Wheezy e consegui usar a assinatura Release.sig para verificar a integridade do arquivo de soma de verificação de liberação usando o GPG4Win. Infelizmente, não encontrei nenhum conselho sobre onde encontrar a soma de verificação md5 / SHA1 / SHA256 no arquivo Release para verificar se o ISO está correto / não foi corrompido / manipulado. Também não foi possível encontrar ajuda sobre esse problema específico nos sites de suporte. Estou usando o Windows 7, se isso for relevante.

Edit: O nome do meu arquivo ISO é "debian-7.5.0-amd64-netinst". Outras versões podem ser encontradas aqui ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) e oferecem uma maneira mais fácil de verificar a integridade devido a este arquivo: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Preciso encontrar algo parecido com isso no arquivo Release que verifiquei.

debian  checksum  integrity 
user295031
fonte
Existe alguém que possa me ajudar com isso? Como essa parece ser uma maneira muito complicada de verificar a integridade, espero que alguém com mais experiência do que eu tenha que responder a essa pergunta.
user295031
Qual é o diretório do qual você baixou o arquivo? Pessoalmente, não me preocuparia em verificar a totalidade desse arquivo. Se houver algo errado com isso, isso será aparente pdq.
Faheem Mitha
É do site oficial. Minha versão é amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha, se ele estiver implantando um sistema de missão crítica, a verificação de integridade é uma obrigação. Sou um pouco paranóica, por isso é rotina para mim, mesmo para sistemas não críticos.
28614 psimon
Entre, você pode até usar o verificador de integridade incorporado do instalador. Mas somente depois de verificar com o MD5 antes de gravar.
23614 psimon

Respostas:

7

Você precisa verificar se o hash corresponde à imagem baixada e, em seguida, verificar se o hash foi assinado por uma chave oficial do Debian - como explicado nesta postagem do blog .

  1. Faça o download da sua imagem de CD, um hash SHA 512 e a assinatura de hash. Não importa de onde você os obtenha, devido à assinatura que verificaremos abaixo. Mas você pode obtê-lo no debian.org .

  2. Verifique se o hash corresponde à imagem (nenhum desses comandos deve imprimir nada):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt

  3. Verifique se o hash está assinado corretamente. Você provavelmente terá que fazer isso duas vezes: uma vez para obter o ID da chave e novamente depois de fazer o download da chave pública. A saída do comando deve se parecer muito com isso:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

  4. Verifique se a impressão digital principal (a última linha impressa) é legítima. Idealmente, você deve fazer isso através de uma rede de confiança . No entanto, você pode verificar a impressão digital das chaves em relação às chaves listadas no site seguro da Debian (HTTPS).

z0r
fonte
Muito útil. Respeite, respeitosamente, que você inclua uma etapa entre as etapas 1 e 2 atuais, para ler algo como: "Copie a linha relevante do hash SHA 512 (se o arquivo tiver mais de uma linha) e cole-a em um novo arquivo de texto chamado SHA512SUMS .TXT." Em seguida, na sua $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtetapa, sugira que você altere a referência ao SHA512SUMS.txtarquivo, de forma que ele faça referência ao arquivo hash inalterado baixado originalmente (aquele com todos os dados originais). Disse que as mudanças sugeridas teria me impedido de descer uma profunda, toca de coelho escuro ...
Digger
Na etapa 2, qual é o propósito de fazê-lo da maneira que você escreveu contra sha512sum -c SHA512SUMS.txt?
Cdhowie # 6/19
@cdhowie sem motivo. Seu caminho é melhor; sinta-se à vontade para editá-lo
z0r 07/09/19
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.