Debian Authentizitaet [geloest]
Debian Authentizitaet [geloest]
Hallo Forumianer,
bin schon etwas laenger Deb user. Und noch nicht auf deb 9 umgestiegen, was ich vorhabe.
Bisher habe ich auch einfach immer mit Iso installiert ohne etwas zu ueberpruefen, was ich bei der neuen Installation anders machen moechte.
Dazu habe ich die DVD 1 iso heruntergeladen und auch die Cheksumfiles txt und .sign.
mit
$ gpg --verify MD5SUMS.sign und
$ gpg --keyserver keyring.debian.org --recv ...............
habe ich auch die autehntizitaet der checksumfiles selbst geprueft
das ergebnis sah unegefaehr in teilen so aus:
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner
da ich noch keine tools habe bzw. sie vielleciht in der installation vorhanden sind aber ich Sie nciht kenne habe ich versucht im terminal
md5sum /deb.iso > file.txt
durchzufuehren. file.txt wird auch angelegt und erhaelt eine zeile die aussieht wie ein Hashwert.
Wenn ich das ganze prinzip richtig verstanden habe, dann muesste der inhalt der file.txt datei doch der gleiche,(deb.iso ist dvd1download) sein wie
22cdf6f55fb465f75bb6dd8b54ae3e7f debian-9.5.0-amd64-DVD-1.iso
aus
https://cdimage.debian.org/debian-cd/cu ... vd/MD5SUMS
nicht wahr?
Das ist bei mir aber nciht der fall
denn md5sumliefert bei mir : aeb1d0b90b4d2cad7630a382e14d93e6 debian-9.5.0-amd64-DVD-1.iso
kann ich dann davon ausgehen, dass meine iso manipuliert wurde, als sie sich in form von tcp paketen auf dem weg im netz befand ? bzw.meine wget anfrage an die url an eine andere adresse mit einer fake iso aufgeloest wurde?
bin schon etwas laenger Deb user. Und noch nicht auf deb 9 umgestiegen, was ich vorhabe.
Bisher habe ich auch einfach immer mit Iso installiert ohne etwas zu ueberpruefen, was ich bei der neuen Installation anders machen moechte.
Dazu habe ich die DVD 1 iso heruntergeladen und auch die Cheksumfiles txt und .sign.
mit
$ gpg --verify MD5SUMS.sign und
$ gpg --keyserver keyring.debian.org --recv ...............
habe ich auch die autehntizitaet der checksumfiles selbst geprueft
das ergebnis sah unegefaehr in teilen so aus:
gpg: Good signature from "Debian CD signing key "
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner
da ich noch keine tools habe bzw. sie vielleciht in der installation vorhanden sind aber ich Sie nciht kenne habe ich versucht im terminal
md5sum /deb.iso > file.txt
durchzufuehren. file.txt wird auch angelegt und erhaelt eine zeile die aussieht wie ein Hashwert.
Wenn ich das ganze prinzip richtig verstanden habe, dann muesste der inhalt der file.txt datei doch der gleiche,(deb.iso ist dvd1download) sein wie
22cdf6f55fb465f75bb6dd8b54ae3e7f debian-9.5.0-amd64-DVD-1.iso
aus
https://cdimage.debian.org/debian-cd/cu ... vd/MD5SUMS
nicht wahr?
Das ist bei mir aber nciht der fall
denn md5sumliefert bei mir : aeb1d0b90b4d2cad7630a382e14d93e6 debian-9.5.0-amd64-DVD-1.iso
kann ich dann davon ausgehen, dass meine iso manipuliert wurde, als sie sich in form von tcp paketen auf dem weg im netz befand ? bzw.meine wget anfrage an die url an eine andere adresse mit einer fake iso aufgeloest wurde?
Zuletzt geändert von RLD am 29.10.2018 15:41:35, insgesamt 2-mal geändert.
-
- Beiträge: 3799
- Registriert: 26.02.2009 14:35:56
Re: Debian Authentizitaet
Ich würde die einfach nochmal direkt von debian.org runterladen. Eventuell ist ja auch beim Download ein Bit umgekippt. Kommt schon mal vor.
Ansonsten würde ich die netinstall runterladen. Die ist viel kleiner und das Risiko von Übertragungsfehlern da natürlich auch geringer. Warum überhaupt da was extra runterladen. Die /etc/apt/sources.list anpassen - apt-get update und apt-get dist-upgrade bringen dich doch auch von Debian 8 auf Debian 9. Bei Debian ist die Neuinstallation - sagen wir mal - unüblich. Habe hier schon 3 dist-upgrade hinter mir und alles rennt perfekt. Neuinstallation ist im Regelfall nicht notwendig - es sei denn, das System wurde durch Fremdpakter versaubeutelt.
Ansonsten würde ich die netinstall runterladen. Die ist viel kleiner und das Risiko von Übertragungsfehlern da natürlich auch geringer. Warum überhaupt da was extra runterladen. Die /etc/apt/sources.list anpassen - apt-get update und apt-get dist-upgrade bringen dich doch auch von Debian 8 auf Debian 9. Bei Debian ist die Neuinstallation - sagen wir mal - unüblich. Habe hier schon 3 dist-upgrade hinter mir und alles rennt perfekt. Neuinstallation ist im Regelfall nicht notwendig - es sei denn, das System wurde durch Fremdpakter versaubeutelt.
Zuletzt geändert von pferdefreund am 29.10.2018 07:25:52, insgesamt 1-mal geändert.
Re: Debian Authentizitaet
Ich hätte als Ergebnis auch die korrekte Prüfsumme erwartet. Grundsätzlich brauchst du jedoch gar nicht die DVD-Version. Ich nutze immer die Netinstall mit unfreien Treibern, die aber auch nur bei Bedarf installiert werden.
https://cdimage.debian.org/cdimage/unof ... 64/iso-cd/
Die Version ist nur 326 MB groß. Vielleicht gibt es irgendwelche Probleme bei der Größe. Vielleicht war der Download auch feherhaft.
Eigentlich sind Prüfsummen nur sinnvoll, wenn sie auf anderen Servern bereitgestellt werden. Werden Datei und Prüfsumme von nur einen Server geladen und der Server wurde gehackt hilft einen das gar nichts, da der Angreifer Datei und Prüfsumme ändert
https://cdimage.debian.org/cdimage/unof ... 64/iso-cd/
Die Version ist nur 326 MB groß. Vielleicht gibt es irgendwelche Probleme bei der Größe. Vielleicht war der Download auch feherhaft.
Eigentlich sind Prüfsummen nur sinnvoll, wenn sie auf anderen Servern bereitgestellt werden. Werden Datei und Prüfsumme von nur einen Server geladen und der Server wurde gehackt hilft einen das gar nichts, da der Angreifer Datei und Prüfsumme ändert
Re: Debian Authentizitaet
Hallo Danke fuer eure Antworten.
das eine uppgrade aus der alten version moeglich ist wusste ich aber konnte mich nciht merh erinnern wie genau das geht^^. Ausserdem habe ich damals auch keine checksum prufung bei der deb iso vorgenommen, sodass ein upgrade dann auch noch potentiell gefaehlcih sein koennte.
netinstall werde ich mal versuchen,generell aber wuerde ich schon gerne diekomplette DVD haben, da es bei mir oefter mal vorkomment,dass ich in Situationen stecke in denen ich installieren muss ohne eine aktive internet verbindung zu haben.
das eine uppgrade aus der alten version moeglich ist wusste ich aber konnte mich nciht merh erinnern wie genau das geht^^. Ausserdem habe ich damals auch keine checksum prufung bei der deb iso vorgenommen, sodass ein upgrade dann auch noch potentiell gefaehlcih sein koennte.
netinstall werde ich mal versuchen,generell aber wuerde ich schon gerne diekomplette DVD haben, da es bei mir oefter mal vorkomment,dass ich in Situationen stecke in denen ich installieren muss ohne eine aktive internet verbindung zu haben.
-
- Beiträge: 3799
- Registriert: 26.02.2009 14:35:56
Re: Debian Authentizitaet [geloest]
Dann würde ich den Download aber mal ohne X mit wget usw machen. Senkt die CPU-Last. Eventuell eine Zeit aussuchen, wo nicht so viel los ist, um Fehler beim Download zu vermeiden.
Re: Debian Authentizitaet [geloest]
ja mir ist auch noch im nachhinein eingefallen, dass der download zwischen durch abgebrochen wurde entweder wegen speicherplatz oder der verbindung wegen, so genau weiss ichs jetytz nicht mehr, aber aufjedenfall habe ich dann den download nicht erneut angefangen sondern fotgesetzt. wahrscheinlich wirds daran legen. system laeuft ja auch bisher ganz gut. stretch erkennent und automounted sogar ein altes samsung android. sprachen layouts usw aller i.o. und paar andere sachen die jetzt besser geworden sind als vorher die mir aufgefallen sind dass sie besser sind aber die ich mir nciht gemerkt habe... aufjeenfall moechte ich aber sehen, dass die iso den mir den richtigen hashwert gibt und werde es mal hier in meiner nicht ganz authentizitaet geprfueften insatllation herunterladen und md5sum checken
Re: Debian Authentizitaet [geloest]
hallo nochmal,
Fuer die DVD1 liefert mir md5sum genau die selbe kette wie in auf der deb seite angegeben.
Bei DVD 2 hatte ich trotz download ohne unterbrechungen immernoch nicht die gleiche kette, bei einer weiteren download hatte ich wieder nich die gleiche kette, aber es war die gleiche wie zuvor fuer die dvd2.
Das ist doch eigentlich ziemlich unwahrscheinlich, dass zweimal bei dem download der dvd2 exakt die selben bits fehlerhaft sind, dass ich 2mal dafuer die gleiche checksumme erhalte, die aber nicht die auf der internetseite ist. Denkt ihr vielleciht, dass die checksumme auf der deb seite fuer dvd2 fehlerhaft ist? so ein fehler ist ja mal schnell geschehen. waere cool wenn einer von euch auchmal eine md5 der dvd2 von stretch aus der deb seite machen kann und dann hier angibt.
Fuer die DVD1 liefert mir md5sum genau die selbe kette wie in auf der deb seite angegeben.
Bei DVD 2 hatte ich trotz download ohne unterbrechungen immernoch nicht die gleiche kette, bei einer weiteren download hatte ich wieder nich die gleiche kette, aber es war die gleiche wie zuvor fuer die dvd2.
Das ist doch eigentlich ziemlich unwahrscheinlich, dass zweimal bei dem download der dvd2 exakt die selben bits fehlerhaft sind, dass ich 2mal dafuer die gleiche checksumme erhalte, die aber nicht die auf der internetseite ist. Denkt ihr vielleciht, dass die checksumme auf der deb seite fuer dvd2 fehlerhaft ist? so ein fehler ist ja mal schnell geschehen. waere cool wenn einer von euch auchmal eine md5 der dvd2 von stretch aus der deb seite machen kann und dann hier angibt.
Re: Debian Authentizitaet [geloest]
Hallo Zusammen,
kann die Anleitung auch nicht nachvollziehen:
https://www.debian.org/CD/verify
Wie kann ich von einem anderem Linux-System hier Mint eine Debian ISO per SHA512SUMS.sign und gpg überprüfen?
Der Schlüsselring funktioniert auch nicht wie folgt beschrieben:
https://keyring.debian.org/
$ gpg --keyserver keyring.debian.org --recv-keys 0x673A03E4C1DB921F
Habe meinen GPG-key exportiert und dann die Signatur geprüft:
gpg --send-keys XXXXXXXXXXXXXXXX
und dann:
gpg --verify SHA512SUMS.sign
gpg: die unterzeichneten Daten sind wohl in 'SHA512SUMS'
gpg: Signatur vom Mo 24 Dez 2018 08:43:55 CET
gpg: mittels RSA-Schlüssel XXXXXXXXXXXXXXXXXXXXXXXXXX
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
Der Fehler liegt im Detail nur find ich ihn gerade nicht. Find auch keine asc Schlüssel Datei auf dem Debian Image Server.
Grüße
counter1
kann die Anleitung auch nicht nachvollziehen:
https://www.debian.org/CD/verify
Wie kann ich von einem anderem Linux-System hier Mint eine Debian ISO per SHA512SUMS.sign und gpg überprüfen?
Der Schlüsselring funktioniert auch nicht wie folgt beschrieben:
https://keyring.debian.org/
$ gpg --keyserver keyring.debian.org --recv-keys 0x673A03E4C1DB921F
Habe meinen GPG-key exportiert und dann die Signatur geprüft:
gpg --send-keys XXXXXXXXXXXXXXXX
und dann:
gpg --verify SHA512SUMS.sign
gpg: die unterzeichneten Daten sind wohl in 'SHA512SUMS'
gpg: Signatur vom Mo 24 Dez 2018 08:43:55 CET
gpg: mittels RSA-Schlüssel XXXXXXXXXXXXXXXXXXXXXXXXXX
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
Der Fehler liegt im Detail nur find ich ihn gerade nicht. Find auch keine asc Schlüssel Datei auf dem Debian Image Server.
Grüße
counter1
TNX
counter1
CPU: AMD Ryzen 7 3700X 65W | GPU: NVIDIA GeForce GTX 1660 SUPER | RAM: 32 GB DDR4@3200 MHz | OS: Debian bullseye x86_64
counter1
CPU: AMD Ryzen 7 3700X 65W | GPU: NVIDIA GeForce GTX 1660 SUPER | RAM: 32 GB DDR4@3200 MHz | OS: Debian bullseye x86_64
Re: Debian Authentizitaet [geloest]
Also nur zur Info:
Das aktuelle Debian Stretch gibt es hier:http://cdimage.debian.org/cdimage/relea ... 4/iso-dvd/
Wenn man schon die DVD's glaubt zu brauchen, sollte man möglichst das aktuellste nehmen.
Auch bei Stable ändert sich ab und zu einiges.
Kann dann schnell sein, das die Abhängigkeiten nicht mehr passen.
Dort sind auch die jeweiligen Prüfsummen. Nur in diesem Verzeichnis sind die passenden Summen.
einfach zu prüfen mit
md5sum [Datei]
aus dem Paket coreutils
Das aktuelle Debian Stretch gibt es hier:http://cdimage.debian.org/cdimage/relea ... 4/iso-dvd/
Wenn man schon die DVD's glaubt zu brauchen, sollte man möglichst das aktuellste nehmen.
Auch bei Stable ändert sich ab und zu einiges.
Kann dann schnell sein, das die Abhängigkeiten nicht mehr passen.
Dort sind auch die jeweiligen Prüfsummen. Nur in diesem Verzeichnis sind die passenden Summen.
einfach zu prüfen mit
md5sum [Datei]
aus dem Paket coreutils
Re: Debian Authentizitaet [geloest]
Brauchte nur die letzte live testing nonfree Version.
Hatte Arch, Manjaro und Mint getestet [AMD A12 9800 Carrizo APU | Samsung M.2 SATA SSD] und bei den ersten beiden ständig Kernel freezes.
Hatte Arch, Manjaro und Mint getestet [AMD A12 9800 Carrizo APU | Samsung M.2 SATA SSD] und bei den ersten beiden ständig Kernel freezes.
TNX
counter1
CPU: AMD Ryzen 7 3700X 65W | GPU: NVIDIA GeForce GTX 1660 SUPER | RAM: 32 GB DDR4@3200 MHz | OS: Debian bullseye x86_64
counter1
CPU: AMD Ryzen 7 3700X 65W | GPU: NVIDIA GeForce GTX 1660 SUPER | RAM: 32 GB DDR4@3200 MHz | OS: Debian bullseye x86_64