Debian

Cómo verificar una autenticidad de las imágenes ISO de Debian descargadas

Cómo verificar una autenticidad de las imágenes ISO de Debian descargadas

Hay dos pasos para verificar una autenticidad de las imágenes ISO de Debian descargadas de Debian Mirrors:

  1. En primer lugar, necesitamos verificar la suma de verificación del contenido de la imagen del CD en sus archivos relevantes de SUMS Md5sums o Sha512sums
  2. En segundo lugar, necesitamos verificar los archivos reales de SUMS de verificación para una firma correcta utilizando firmas acompañadas como Md5sums.firmar o Sha512sums.firmar

Para comenzar, primero descargue todos los archivos relevantes, incluidas las imágenes ISO deseadas dentro de un solo directorio. En este caso, validaremos la autenticidad de la imagen de CD de instalación de Debian Net:

$ LS MD5SUMS MD5SUMS.Firmar sha512sums sha512sums.Firmar Debian-8.0.0-brazo-netinst.Yo asi

La tarea en cuestión es verificar la autenticidad de la imagen de CD de instalación de red incluida Debian-8.0.0-brazo-netinst.Yo asi

Verificar contenido de imagen de CD

Para verificar el contenido de la imagen de CD con cualquier manipulación, generamos la suma de verificación localmente y coincidemos con la suma de verificación proporcionada por Md5sums y Sha512sums descargado del espejo de Debian. Nota, solo por la integridad hacemos ambos métodos Md5sums y Sha512sums.

MD5SUM $ MD5SUM -C MD5SUMS 2> /dev /null | Grep Netinst Debian-8.0.0-brazo-netinst.ISO: OK SHA512SUMS $ SHA512SUM -C SHA512SUMS 2> /dev /null | Grep Netinst Debian-8.0.0-brazo-netinst.ISO: OK

Verifique la firma correcta

Hasta ahora todo se ve genial. A continuación, necesitamos verificar la autenticidad del Md5sums y Sha512sums Archivos de suma de comprobación que hemos usado para verificar el contenido de nuestra imagen ISO de Debian. Para esto usaremos gpg (Guardia de privacidad de GNU) Comando. Primero, necesitamos obtener la clave pública de la persona que firmó nuestros archivos de suma de verificación:

$ gpg --verify md5sums.Sign GPG: Suponiendo datos firmados en 'MD5SUMS' GPG: Firma Hecha SAT 25 de abril 23:44:18 2015 UTC Uso de ID de clave RSA 6294Be9B GPG: No se puede verificar la firma: Clave pública no encontrada $ GPG -VERIFICAR SHA512SUMS.Sign GPG: Suponiendo los datos firmados en el GPG 'Sha512Sums': Firma Hecha SAT 25 de abril 23:44:18 2015 UTC utilizando la ID de clave RSA 6294BE9B GPG: No se puede verificar la firma: Clave pública no encontrada

La clave pública con ID6294be9b Actualmente no está disponible en nuestro sistema, por lo que debemos descargarlo primero directamente desde el servidor Debian Keyring:

$ GPG -Keyring de Keyserver.debian.org - -recv 6294be9b gpg: keyring '/root/.gnupg/secring.GPG 'creado GPG: Solicitud de clave 6294BE9B desde la llave del servidor HKP.debian.org gpg: /root /.Gnupg/Trustdb.GPG: TrustDB creado GPG: Clave 6294Be9B: Clave pública "Debian CD Firma Clave" Impig importado: No, en última instancia, las claves de confianza se encontraron GPG: Número total procesado: 1 GPG: Importado: 1 (RSA: 1)

En este punto, estamos en condiciones de verificar una firma para ambos archivos de suma de verificación:

$ gpg --verify md5sums.signo MD5SUMS GPG: Firma Hecha SAT 25 de abril 23:44:18 2015 UTC usando RSA Key ID 6294Be9B GPG: Buena firma de la "Clave de firma de CD de Debian" GPG: Advertencia: esta clave no está certificada con una firma confiable! GPG: No hay indicios de que la firma pertenezca al propietario. Huella digital clave principal: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B $ GPG -VERIFY SHA512SUMS.Sign SHA512SUMS GPG: Signature Hecho sábado 25 de abril 23:44:18 2015 UTC usando RSA Key ID 6294Be9B GPG: Buena firma de la "clave de firma de CD Debian" GPG: Advertencia: esta clave no está certificada con una firma confiable! GPG: No hay indicios de que la firma pertenezca al propietario. Huella digital clave principal: DF9B 9C49 EAA9 2984 3258 9D76 DA87 E80D 6294 BE9B

El mensaje GPG: Buena firma de la "clave de firma de CD Debian" confirma que la imagen de CD de Debian pertenece a quien afirma pertenecer a. En cuanto a una conclusión, intentemos una prueba de manipulación simple con Md5sums archivo y cambiar un solo carácter dentro de este archivo usando empuje editor:

$ VI MD5SUMS $ GPG -VERIFY MD5SUMS.Sign MD5SUMS GPG: Firma Hecha SAT 25 de abril 23:44:18 2015 UTC usando RSA Key ID 6294Be9B GPG: Mala firma de la "Clave de firma de CD Debian"

Tutoriales de Linux relacionados:

  • tutorial de comando de Willfs Linux con ejemplos
  • Espejos de ubuntu
  • Cómo verificar la integridad de un ISO de distribución de Linux ..
  • Cómo montar la imagen ISO en Linux
  • Cómo instalar la batalla.net en Ubuntu 20.04 Desktop de Linux
  • Ubuntu 22.04 Error GPG: las siguientes firmas no podrían ser ..
  • Ubuntu 20.04 trucos y cosas que quizás no sepas
  • Cómo instalar la batalla.red en Ubuntu 22.04 Desktop de Linux
  • Prueba de clientes HTTPS utilizando OpenSSL para simular un servidor
  • Manejo de la entrada del usuario en scripts bash