Debian ISOの整合性を確認する方法は?

10

最近、Debian 7.5.0 Wheezyをダウンロードし、Release.sig署名を使用して、GPG4Winを使用したリリースチェックサムファイルの整合性を検証しました。残念ながら、リリースファイル内のmd5 / SHA1 / SHA256チェックサムを探して、ISOが正しい/破損していない/操作されていないことを確認するためのアドバイスを見つけることができませんでした。サポートサイトでこの特定の問題に関するヘルプも見つかりませんでした。これに関連する場合は、Windows 7を使用しています。

編集:私のISOファイルの名前は「debian-7.5.0-amd64-netinst」です。他のバージョンはこちら(ftp://cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/)にあり、次のファイルを使用することで整合性を簡単に確認できます:ftp: //cdimage.debian.org/cdimage/release/7.5.0-live/amd64/iso-hybrid/SHA256SUMS。確認したリリースファイルでこのようなものを見つける必要があります。

debian  checksum  integrity 
user295031
ソース
これを手伝ってくれる人はいますか?これは完全性を検証する非常に複雑な方法のように思われるので、私はこの質問に答える必要があるよりも多くの経験を持つ誰かを望んでいます。
user295031 2014年
ファイルをダウンロードしたディレクトリは何ですか?個人的には、そのファイルの完全性を確認することを心配する必要はありません。何か問題がある場合、それは明らかなpdqです。
Faheem Mitha 14年
公式サイトからです。私のバージョンはamd64: debian.org/distrib/netinst
user295031
2
@FaheemMitha、彼がミッションクリティカルなシステムを配備している場合、整合性チェックは必須です。私は少し偏執狂なので、重要でないシステムであっても、それは私にとって日常的なことです。
psimon 2014年
ところで、インストーラーの組み込み整合性チェッカーを使用することもできます。ただし、書き込み前にMD5で検証した後でのみ。
psimon 2014年

回答:

7

このブログ投稿で説明されているように、ハッシュがダウンロードされたイメージと一致することを確認し、次にハッシュが公式のDebianキーによって署名されていることを確認する必要があります。

  1. CDイメージ、SHA 512ハッシュ、ハッシュ署名をダウンロードします。署名は以下で確認するため、どこから取得してもかまいません。しかし、debian.orgから入手できます。

  2. ハッシュが画像と一致していることを確認します(これらのコマンドはいずれも何も出力しません)。

    $ sha512sum debian-8.3.0-amd64-i386-netinst.iso > my_hash.txt
$ diff -q my_hash.txt SHA512SUMS.txt

  3. ハッシュが適切に署名されていることを確認します。おそらく、2回行う必要があります。1回はキーIDを取得するため、もう1回は公開キーをダウンロードした後です。コマンド出力は次のようになります。

    $ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Can't check signature: public key not found
$ gpg --keyserver keyring.debian.org --recv 6294BE9B
gpg: requesting key 6294BE9B from hkp server keyring.debian.org
gpg: key 6294BE9B: public key "Debian CD signing key <debian-cd@lists.debian.org>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)
$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txt
gpg: Signature made Mon 25 Jan 2016 05:08:46 AEDT using RSA key ID 6294BE9B
gpg: Good signature from "Debian CD signing key <debian-cd@lists.debian.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: DF9B 9C49 EAA9 2984 3258  9D76 DA87 E80D 6294 BE9B

  4. キーの指紋(最後に印刷された行)が正当であることを確認します。理想的には、これを信頼のWeb経由で行う必要があります。ただし、Debianの安全なWebサイト(HTTPS)にリストされているキーに対してキーフィンガープリントを確認できます。

z0r
ソース
非常に役立ちます。現在のステップ1と2の間にステップを追加して、「SHA 512ハッシュから関連する行をコピーし(ファイルに複数の行がある場合)、SHA512SUMSという名前の新しいテキストファイルに貼り付けてください。 。txt。" 次に、$ gpg --verify SHA512SUMS.sign.txt SHA512SUMS.txtステップでSHA512SUMS.txt最初にダウンロードされた未変更のハッシュファイル(元のデータがすべて含まれているファイル)を参照するように、ファイルへの参照を変更することを提案します。提案された変更は、私が深くて暗いウサギの穴を下るのを妨げたであろうと述べた...
ディガー
ステップ2で、あなたが書いた方法に対してそれを行う目的は何sha512sum -c SHA512SUMS.txtですか?
cdhowie
@cdhowie理由はありません。あなたの方法はより良いです。自由に編集してください
z0r
4

http://cdimage.debian.org/debian-cd/current/amd64/iso-cd/を見てください。

netinst ISOはhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/debian-7.5.0-amd64-netinst.isoにあります

md5sumはhttp://cdimage.debian.org/debian-cd/current/amd64/iso-cd/MD5SUMSにあります

関連する行は次のとおりです。

8fdb6715228ea90faba58cb84644d296  debian-7.5.0-amd64-netinst.iso
ファヒーム・ミサ
ソース
既にダウンロードしたISOとPGP署名を使用して確認したISOのみを使用したいと思います。
user295031 14年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.