Wie überprüfe ich die Integrität von Debian ISO?

10

Ich habe kürzlich Debian 7.5.0 Wheezy heruntergeladen und es geschafft, die Release.sig-Signatur zu verwenden, um die Integrität der Release-Prüfsummendatei mit GPG4Win zu überprüfen. Leider konnte ich keinen Rat finden, wo sich die Prüfsumme md5 / SHA1 / SHA256 in der Release-Datei befindet, um zu überprüfen, ob die ISO korrekt ist / nicht beschädigt / manipuliert wurde. Auf den Support-Websites konnte auch keine Hilfe zu diesem speziellen Problem gefunden werden. Ich verwende Windows 7, wenn dies relevant ist.

Bearbeiten: Der Name meiner ISO-Datei lautet "debian-7.5.0-amd64-netinst". Andere Versionen finden Sie hier ( ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/ ) und bieten eine einfachere Möglichkeit, die Integrität aufgrund dieser Datei zu überprüfen: ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS . Ich muss so etwas in der von mir überprüften Release-Datei finden.

user295031
quelle
Gibt es jemanden, der mir dabei helfen kann? Da dies eine sehr komplizierte Methode zur Überprüfung der Integrität zu sein scheint, hoffe ich auf jemanden mit mehr Erfahrung, als ich diese Frage beantworten muss.
user295031
In welches Verzeichnis haben Sie Ihre Datei heruntergeladen? Persönlich würde ich mir keine Sorgen machen, wenn ich die Ganzheit dieser Datei überprüfen würde. Wenn etwas nicht stimmt, wird das offensichtlich pdq.
Faheem Mitha
Es ist von der offiziellen Seite. Meine Version ist amd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha: Wenn er ein unternehmenskritisches System bereitstellt, ist die Integritätsprüfung ein Muss. Ich bin ein bisschen paranoid, daher ist es für mich selbst für unkritische Systeme Routine.
Psimon
Übrigens können Sie sogar die integrierte Integritätsprüfung des Installationsprogramms verwenden. Aber erst, nachdem Sie es vor dem Brennen mit MD5 überprüft haben.
Psimon

Antworten:

6

Sie müssen überprüfen, ob der Hash mit dem heruntergeladenen Bild übereinstimmt, und dann überprüfen, ob der Hash mit einem offiziellen Debian-Schlüssel signiert wurde - wie in diesem Blog-Beitrag erläutert .

  1. Laden Sie Ihr CD-Image, einen SHA 512-Hash und die Hash-Signatur herunter. Es spielt keine Rolle, woher Sie sie beziehen, da die Signatur unten überprüft wird. Aber Sie können es von debian.org bekommen .
  2. Stellen Sie sicher, dass der Hash mit dem Bild übereinstimmt (keiner dieser Befehle sollte etwas drucken):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. Stellen Sie sicher, dass der Hash ordnungsgemäß signiert ist. Sie müssen es wahrscheinlich zweimal tun: einmal, um die Schlüssel-ID zu erhalten, und erneut, nachdem Sie den öffentlichen Schlüssel heruntergeladen haben. Die Befehlsausgabe sollte ungefähr so ​​aussehen:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <[email protected]>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <[email protected]>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. Stellen Sie sicher, dass der Schlüsselfingerabdruck (die letzte gedruckte Zeile) legitim ist. Idealerweise sollten Sie dies über ein Vertrauensnetz tun . Sie können den Schlüsselfingerabdruck jedoch mit den Schlüsseln vergleichen, die auf der sicheren Website von Debian (HTTPS) aufgeführt sind.

z0r
quelle
Sehr hilfreich. Schlagen Sie respektvoll vor, einen Schritt zwischen Ihren aktuellen Schritten 1 und 2 hinzuzufügen , um Folgendes zu lesen: "Kopieren Sie die entsprechende Zeile aus dem SHA 512-Hash (wenn diese Datei mehr als eine Zeile enthält) und fügen Sie sie in eine neue Textdatei mit dem Namen SHA512SUMS ein .TXT." Als nächstes $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtschlagen Sie in Ihrem Schritt vor, den Verweis auf die SHA512SUMS.txtDatei so zu ändern, dass er auf die ursprünglich heruntergeladene, unveränderte Hash-Datei verweist (die mit allen Originaldaten). Die vorgeschlagenen Änderungen hätten mich daran gehindert, ein tiefes, dunkles Kaninchenloch hinunterzugehen ...
Digger
Was ist in Schritt 2 der Zweck, es so zu machen, wie Sie es geschrieben haben sha512sum -c SHA512SUMS.txt?
CDhowie
@cdhowie kein Grund. Dein Weg ist besser; Fühlen Sie sich frei, es zu bearbeiten
z0r
4

Schauen Sie sich http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/ an.

Die Netinst-ISO befindet sich unter http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.iso .

Sie finden die md5sum unter http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMS .

Die relevante Zeile lautet:

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
Faheem Mitha
quelle
Ich würde es vorziehen, nur die ISO zu verwenden, die ich bereits heruntergeladen und anhand der PGP-Signatur überprüft habe.
user295031