Autor Tópico: Como verificar a procedência e integridade corretos dos ISO Ubuntu  (Lida 13600 vezes)

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 5.552
    • Ver perfil
Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Online: 18 de Fevereiro de 2017, 19:09 »
O presente roteiro é uma simples tradução e adaptação do roteiro originalmente existente em:

How to verify your Ubuntu download

https://www.ubuntu.com/download/how-to-verify

O objetivo é tentar tornar um pouco mais claro o procedimento a ser realizado, sobremodo porque o roteiro original se encontra em idioma inglês.

Usando como exemplo o arquivo iso da versão 16.04.2, 64-bit, Desktop, e usando o wget para baixar os arquivos necessários. Também pode ser feito diretamente pelo browser (=navegador), mas a explicação do roteiro usando o wget facilita a execução e o entendimento.

Vamos supor, ainda, que os arquivos serão baixados e tratados de dentro do diretório ~/Downloads, mas também pode ser qualquer outro.

A tradução do roteiro apenas explica como fazer e não entra em detalhes de explicações acerca do significado detalhado de cada etapa (porque precisaria de um outro tutorial para tanto, o que não é o objetivo mais imediato), contentando-se apenas em como fazer de forma prática.

1) Baixando os arquivos necessários

Estando na página web dos arquivos iso da versão que se pretende baixar, com o botão direito do mouse copie os links necessários ao wget e então cole tais endereços no terminal, após o wget:

http://releases.ubuntu.com/xenial/

Baixar os arquivos necessários:

a) baixando o arquivo iso

Código: [Selecionar]
wget http://releases.ubuntu.com/xenial/ubuntu-16.04.2-desktop-amd64.iso
b) baixando o arquivo SHA256SUMS.gpg

Código: [Selecionar]
wget http://releases.ubuntu.com/xenial/SHA256SUMS.gpg
c) baixando o arquivo texto SHA256SUMS

Código: [Selecionar]
wget http://releases.ubuntu.com/xenial/SHA256SUMS

2) Obtendo a chave da assinatura

Numa janela de terminal digitar (ou copiar aqui e colar lá, mais fácil):

Código: [Selecionar]
gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys "8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092" "C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451"
Vai resultar como saída do comando acima:

Citar
gpg: requisitando chave FBB75451 de servidor hkp - keyserver.ubuntu.com
gpg: /home/ubuntu/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado
gpg: chave EFE21092: chave pública "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" importada
gpg: chave FBB75451: chave pública "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" importada
gpg: ultimamente não encontradas chaves confiáveis
gpg: Número total processado: 2
gpg:               importados: 2  (RSA: 1)


3) Verificando as impressões digitais (=fingerprint)

O fingerprint é um identificador que referencia uma identidade única de um determinado arquivo, obtido através de um algoritmo. Como nas impressões digitais humanas, a impressão digital do arquivo é única e, portanto, comparável.

Digite no terminal:

Código: [Selecionar]
gpg --list-keys --with-fingerprint 0xFBB75451 0xEFE21092
Vai resultar:

Citar
pub   4096R/EFE21092 2012-05-11
      Impressão digital da chave: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092
uid                  Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>

pub   1024D/FBB75451 2004-12-30
      Impressão digital da chave: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
uid                  Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>


4) Verificando a assinatura

Isso feito, agora a verificação da assinatura (note que é por essa razão que os arquivos SHA256SUMS.gpg e o arquivo texto SHA256SUMS precisam estar no mesmo diretório junto com o .iso), de dentro do diretório onde estão o iso e os arquivos mencionadosls:

Digite no terminal:

Código: [Selecionar]
gpg --verify SHA256SUMS.gpg SHA256SUMS
Vai resultar:

Citar
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando DSA chave ID FBB75451
gpg: Assinatura correta de "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: C598 6B4F 1257 FFA8 6632  CBA7 4618 1433 FBB7 5451
gpg: Assinatura feita Qui 16 Fev 2017 22:04:27 BRST usando RSA chave ID EFE21092
gpg:tu Assinara correta de "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>"
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!
gpg:          Não há indicação de que a assinatura pertence ao dono.
Impressão digital da chave primária: 8439 38DF 228D 22F7 B374  2BC0 D94A A3F0 EFE2 1092


Observação:
É impotante obter acima a expressão "Assinatura correta".
Este é um exemplo de assinatura "boa". O GPG está apenas validando a integridade do arquivo fornecido. As mensagens de aviso indicam que seu banco de dados de confiança atual do GnuPG não tem informações de confiança para a chave de assinatura e que, a menos que você tenha realmente verificado e assinado uma das chaves públicas pertencentes aos assinantes da chave de assinatura de imagem ISO do Ubuntu, irá receber essas mensagens de alertas.


5) Verificando o arquivo ISO

Execute agora na janela do terminal:

Código: [Selecionar]
sha256sum -c SHA256SUMS 2>&1 | grep SUCESSO
Deve resultar:

Citar
ubuntu-16.04.2-desktop-amd64.iso: SUCESSO

Qualquer outro resultado que não esse ou ausência de resultado indicam algum problema com o arquivo ISO e então deve ser rejeitado e obtido um novo.

« Última modificação: 19 de Fevereiro de 2017, 03:13 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 5.552
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #1 Online: 18 de Fevereiro de 2017, 19:10 »
A origem e motivação desse post como "Dicas e Truques" se deu em razão do post original do colega "brunosh", conforme se vê nesse link:

Verificar integridade de ISO de sistemas operacionais Linux

http://ubuntuforum-br.org/index.php/topic,121439.msg667133.html#msg667133

As considerações lá efetuadas complementam o roteiro prático aqui ora postado.

« Última modificação: 18 de Fevereiro de 2017, 19:15 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 5.552
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #2 Online: 18 de Fevereiro de 2017, 19:10 »
Reservado

Numa etapa posterior se pode explicar onde e como os dados de verificação podem ser obtidos, se bem que uma observação atenta desde logo desvelará a forma de agrupamento das informações.
« Última modificação: 18 de Fevereiro de 2017, 19:16 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline krekml

  • Usuário Ubuntu
  • *
  • Mensagens: 6
    • Ver perfil
Re: Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #3 Online: 08 de Outubro de 2020, 22:07 »
Boa noite,

Ótimo trabalho em trazer esse material tão explicativo, porém fiquei na dúvida.. Onde consigo a chave pública de assinatura do Ubuntu? A do OpenSuse por exemplo é bem fácil de encontrar, está na própria página de download da imagem, agora a do Ubuntu revirei o site e não encontrei, e isso vale para as demais versões, como o Xubuntu por exemplo.

Offline creto

  • Usuário Archlinux
  • Usuário Ubuntu
  • *
  • Mensagens: 808
  • Vivemos esperando dias melhores
    • Ver perfil
    • Blog do Creto
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #4 Online: 09 de Outubro de 2020, 17:15 »
Aqui o tópico trata do md5sum, certo?

Quanto a chaves públicas leia >>> aqui <<<

Espero ter sido útil de alguma forma.

T+
A vida, é feito andar de bicicleta, se parar, você cai! (Gabriel Contino)
Blog do Paulo Corrêa Creto

Offline krekml

  • Usuário Ubuntu
  • *
  • Mensagens: 6
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #5 Online: 13 de Outubro de 2020, 10:37 »
Bom dia creto,

Obrigado pela resposta, é bem útil para entender melhor sobre as chaves, mas gostaria de saber onde consigo a chave pública do Ubuntu e de seus sabores, como o Xubuntu por exemplo. Como citei na minha resposta, outras distros trazem essa informação em seus sites de forma bem simples de encontrar, como Mint, OpenSuse e Debian.

Na busca que fiz no site do Ubuntu não consegui encontrar.

Offline selvaking

  • Equipe Ubuntu
  • Usuário Ubuntu
  • *****
  • Mensagens: 1.171
  • Parque Anchieta - Rio de Janeiro - RJ
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #6 Online: 14 de Outubro de 2020, 11:02 »
Obrigado pela resposta, é bem útil para entender melhor sobre as chaves, mas gostaria de saber onde consigo a chave pública do Ubuntu e de seus sabores, como o Xubuntu por exemplo. Como citei na minha resposta, outras distros trazem essa informação em seus sites de forma bem simples de encontrar, como Mint, OpenSuse e Debian.

Se vc acessar http://releases.ubuntu.com/ dentro da pasta de cada distro tem o que vc quer.
Dê-me um computador com o Tux que movo o mundo!

Linux User #323049

Offline krekml

  • Usuário Ubuntu
  • *
  • Mensagens: 6
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #7 Online: 14 de Outubro de 2020, 14:58 »
Obrigado por responder, mas já havia acessado essa página e não encontrei.

Offline CelticWarrior

  • Usuário Ubuntu
  • *
  • Mensagens: 338
    • Ver perfil
    • CHANGAN Auto
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #8 Online: 14 de Outubro de 2020, 16:51 »
http://releases.ubuntu.com/20.04.1/SHA256SUMS

Este é um enlace direto para Ubuntu 20.04.1.

Offline selvaking

  • Equipe Ubuntu
  • Usuário Ubuntu
  • *****
  • Mensagens: 1.171
  • Parque Anchieta - Rio de Janeiro - RJ
    • Ver perfil
Re:Como verificar a procedência e integridade corretos dos ISO Ubuntu
« Resposta #9 Online: 14 de Outubro de 2020, 17:28 »
Obrigado por responder, mas já havia acessado essa página e não encontrei.

Se não for isso abaixo que vc procura então tente ser mais específico.
Pois é isso que uso pra saber se a cópia que eu fiz download está perfeita como a origem.

http://releases.ubuntu.com/focal/SHA256SUMS
Código: [Selecionar]
b45165ed3cd437b9ffad02a2aad22a4ddc69162470e2622982889ce5826f6e3d *ubuntu-20.04.1-desktop-amd64.iso
443511f6bf12402c12503733059269a2e10dec602916c0a75263e5d990f6bb93 *ubuntu-20.04.1-live-server-amd64.iso

Faça o download dos arquivos ISO na mesma pasta do arquivo de verificação de integridade "SHA256SUMS".
Código: [Selecionar]
wget -c http://releases.ubuntu.com/focal/ubuntu-20.04.1-desktop-amd64.iso
wget -c http://releases.ubuntu.com/focal/ubuntu-20.04.1-live-server-amd64.iso
wget -c http://releases.ubuntu.com/focal/SHA256SUMS
sha256sum -c SHA256SUMS

Após download dos arquivos o  último comando faz a conferência. Se for OK ou SUCESSO tá tudo beleza.
Código: [Selecionar]
usuario@machine:~/Downloads$ sha256sum -c SHA256SUMS
ubuntu-20.04.1-desktop-amd64.iso: SUCESSO
ubuntu-20.04.1-live-server-amd64.iso: SUCESSO
Só isso já é suficiente!
« Última modificação: 14 de Outubro de 2020, 21:44 por selvaking »
Dê-me um computador com o Tux que movo o mundo!

Linux User #323049