如何验证Debian ISO完整性?


10

我最近下载了Debian 7.5.0 Wheezy,并设法使用Release.sig签名来使用GPG4Win验证Release校验和文件的完整性。不幸的是,我无法找到有关在Release文件中找到md5 / SHA1 / SHA256校验和的任何建议,以验证ISO是否正确/没有被破坏/操纵。在支持站点上也找不到有关此特定问题的任何帮助。如果相关,我正在使用Windows 7。

编辑:我的ISO文件的名称是“ debian-7.5.0-amd64-netinst”。其他版本可以在这里找到(ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/),并且由于以下文件,它提供了一种更简单的验证完整性的方法:ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS。我需要在经过验证的发布文件中找到类似的内容。


有谁可以帮助我吗?由于这似乎是验证完整性的非常复杂的方法,因此我希望有一个比我有更多经验的人可以回答这个问题。
user295031 2014年

您从中下载文件的目录是什么?就个人而言,我不会担心检查该文件的完整性。如果有什么问题,那显然是pdq。
Faheem Mitha 2014年

它来自官方网站。我的版本是amd64: debian.org/distrib/netinst
user295031 2014年

2
@FaheemMitha,如果他正在部署关键任务系统,则必须进行完整性检查。我有点偏执,所以即使对于非关键系统,这对我来说也是常规的。
psimon 2014年

而且,您甚至可以使用安装程序的内置完整性检查器。但是,只有在刻录之前用MD5验证了它之后。
psimon 2014年

Answers:


7

您需要验证哈希值是否与下载的图像匹配,然后验证哈希值已由Debian官方密钥签名-如本博文所述

  1. 下载CD映像,SHA 512哈希和哈希签名。无论从哪里获得它们都无所谓,因为我们将在下面验证该签名。但是您可以从debian.org获得它。
  2. 验证哈希值与图像匹配(这两个命令都不应该打印任何内容):

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
    $ diff -q my_hash.txt SHA512SUMS.txt
    
  3. 验证哈希正确签名。您可能需要做两次:一次获取密钥ID,第二次下载公钥之后。命令输出应该看起来像这样:

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Can't check signature: public key not found
    $ gpg --keyserver keyring.debian.org --recv 6294BE9B
    gpg: requesting key 6294BE9B from hkp server keyring.debian.org
    gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
    gpg: no ultimately trusted keys found
    gpg: Total number processed: 1
    gpg:               imported: 1  (RSA: 1)
    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
    gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
    gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
    gpg: WARNING: This key is not certified with a trusted signature!
    gpg:          There is no indication that the signature belongs to the owner.
    Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B
    
  4. 验证密钥指纹(最后打印的行)是否合法。理想情况下,您应该通过信任网来执行此操作。但是,您可以对照Debian安全网站(HTTPS)上列出的密钥检查密钥指纹。


非常有帮助。谨建议您在当前步骤1和2之间添加一个步骤,以读取以下内容:“从SHA 512哈希中复制相关行(如果所述文件具有多个行),并将其粘贴到名为SHA512SUMS的新文本文件中。文本文件。” 接下来,在您的$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt步骤中,建议您更改对该SHA512SUMS.txt文件的引用,以使其引用最初下载的未更改的哈希文件(包含所有原始数据的哈希文件)。所说的建议变化会使我无法进入深深的兔子洞……
Digger

在第2步中,以书面方式进行操作的目的是什么sha512sum -c SHA512SUMS.txt
cdhowie

@cdhowie没有理由。你的方法更好;随时对其进行编辑
z0r

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.