УНИТе
Портал > Документация > Изтегляне на файловете с инсталационните ISO изображения на CentOS 7 и проверка на автентичността им под Linux и Mac OS X

Изтегляне на файловете с инсталационните ISO изображения на CentOS 7 и проверка на автентичността им под Linux и Mac OS X

Съдържание:

  1. Предварителни инструкции
  2. Изтегляне на файловете с инсталационните ISO изображения
  3. Изтегляне и инсталиране на OpenPGP сертификата използван от разработчиците на дистрибуцията в локалното за потребителя хранилище на GnuPG
  4. Проверка на автентичността на файла с контролните суми на ISO изображенията
  5. Проверка на автентичността на изтеглените инсталационни ISO изображения (файлове)

 

1. Предварителни инструкции

За да изпълните инструкциите описани по-долу в този документ трябва да имате инсталиран пакетите GnuPG (задължителен), wget и curl (един от последните два).

  • Linux

    Всички модерни Linux дистрибуции инсталират пакета GnuPG по подразбиране. Пакетите wget и curl могат да се инсталират чрез пакетния мениджър на дистрибуцията.

  • Mac OS X

    GnuPG не е инсталиран по подразбиране в Mac OS X. За да го инсталирате под Mac OS X, използвайте инструкциите дадени тук:

    http://macappstore.org/gnupg/

    За да инсталирате wget и/или curl, използвайте следните документи:

    http://macappstore.org/wget/

     

    http://macappstore.org/curl/

 

2. Изтегляне на файловете с инсталационните ISO изображения

Посетете списъка с огледални файлови сървъри на дистрибуцията, който е достъпен на адрес:

https://www.centos.org/download/mirrors/

и изберете в него този сървър, за който предполгате, че ще ви осигури най-висока скорост на изтегляне. Структурата на всяко хранилище на CentOS 7 е такава, че файловете с ISO изображенията се намират в поддиректория 7/x86_64/isos/. В тази директория изберете това ISO изображение, в чието име на файл се съдържа NetInstall. Този файл осигурява възможността за онлайн инсталация, в която може да приложите актуализациите на пакетите още в момента на инсталирането на дистрибуцията.

За примера по-долу е избран сървъра http://centos.uni-sofia.bg/, а файла с инсталационното ISO изображение е centos/7/x86_64/isos/CentOS-7-x86_64-NetInstall-1810.iso. Проверете дали в момента на изпълнението на тази операция, името на този файл е друго и изтеглете най-актуалния файл с wget:

$ wget http://centos.uni-sofia.bg/centos/7/isos/x86_64/CentOS-7-x86_64-NetInstall-1810.iso

или curl:

$ curl http://centos.uni-sofia.bg/centos/7/isos/x86_64/CentOS-7-x86_64-NetInstall-1810.iso -O

Изтеглете от същото място и файла sha256sum.txt.asc, който съдържа контролните суми на инсталационните ISO изображения, чрез wget:

$ wget http://centos.uni-sofia.bg/centos/7/isos/x86_64/sha256sum.txt.asc

или curl:

$ curl http://centos.uni-sofia.bg/centos/7/isos/x86_64/sha256sum.txt.asc -O

 

3. Изтегляне и инсталиране на OpenPGP сертификата използван от разработчиците на дистрибуцията в локалното за потребителя хранилище на GnuPG

Изтеглете от файла RPM-GPG-KEY-CentOS-7 чрез wget:

$ wget https://www.centos.org/keys/RPM-GPG-KEY-CentOS-7

или curl:

$ curl https://www.centos.org/keys/RPM-GPG-KEY-CentOS-7 -O

За да инсталирате изтегления сертификат в локалното хранилище на GnuPG (файловете на това хранилище се намират обикновено в ~/.gnupg), изпълнете:

$ gpg --import RPM-GPG-KEY-CentOS-7

Като резултат, трябва да видите следния изход:

gpg: key F4A80EB5: public key "CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1  (RSA: 1)

Идентификаторът на сертификата трябва да е F4A80EB5. Ако не е, значи не е изтеглен правилния сертификат и трябва да се установи къде е проблема. Също така, уверете се, че цифровия отпечатък на ключа в сертификата е "6341 AB27 53D7 8A78 A7C2 7BB1 24C6 A8A7 F4A8 0EB5", изпълявайки:

$ gpg --finger F4A80EB5

Цифровият отпечатък ще се появи в изхода от горната команда (след "Key fingerprint"):

pub   4096R/F4A80EB5 2014-06-23
      Key fingerprint = 6341 AB27 53D7 8A78 A7C2  7BB1 24C6 A8A7 F4A8 0EB5
uid                  CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>

В случай, че цифровия отпечатък е този, може да гласувате доверие на инсталирания сертификат, като изпълните:

$ gpg --edit-key F4A80EB5

и след това продължете в интерактивен режим, както е показано по-долу:

gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


pub  4096R/F4A80EB5  created: 2014-06-23  expires: never       usage: SC  
                     trust: unknown       validity: unknown
[ unknown] (1). CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>

gpg> trust
pub  4096R/F4A80EB5  created: 2014-06-23  expires: never       usage: SC  
                     trust: unknown       validity: unknown
[ unknown] (1). CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>

Please decide how far you trust this user to correctly verify other users' keys
(by looking at passports, checking fingerprints from different sources, etc.)

  1 = I don't know or won't say
  2 = I do NOT trust
  3 = I trust marginally
  4 = I trust fully
  5 = I trust ultimately
  m = back to the main menu

Your decision? 5
Do you really want to set this key to ultimate trust? (y/N) y

pub  4096R/F4A80EB5  created: 2014-06-23  expires: never       usage: SC  
                     trust: ultimate      validity: unknown
[ unknown] (1). CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>
Please note that the shown key validity is not necessarily correct
unless you restart the program.

gpg> quit

 

4. Проверка на автентичността на файла с контролните суми на ISO изображенията

Преди да започнете проверката, уверете се, че OpenPGP сертификата, използван от разработчиците на CentOS 7, е наличен в локалното (за вашия потребител) GnuPG хранилище:

$ gpg --list-keys F4A80EB5

Ако сертификатът е наличен, ще се изведе следното съобщение:

pub   4096R/F4A80EB5 2014-06-23
uid                  CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>

Ако сертификатът не е наличен, инсталирайте го съгласно инструкциите дадени по-горе.

За да бъде проверен електрония подпис, вграден във файла sha256sum.txt.asc, трябва да се изпълни следното:

$ gpg --verify sha256sum.txt.asc

Ако електронният подпис е валиден, ще бъде изведено съобщение, в чийто край ще има реда "Good signature from "CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>"":

gpg: Signature made Mon 03 Dec 2018 06:50:32 AM PST using RSA key ID F4A80EB5
gpg: Good signature from "CentOS-7 Key (CentOS 7 Official Signing Key) <security@centos.org>"

 

5. Проверка на автентичността на изтегленото инсталационно ISO изображение (файл)

Преди да започнете, уверете се, че сте изпълнили всички инструкции дадени по-горе. Трябва да сте сигурни, че автентичността на файла с контролните суми sha256sum.txt.asc е установена.

Ако изтегленият ISO файл е с името CentOS-7-x86_64-NetInstall-1810.iso, неговата SHA256 контрола сума ("checksum"), може да бъде изчислена по следния начин:

  • Linux:

    $ sha256sum CentOS-7-x86_64-NetInstall-1810.iso

  • Mac OS X:

    $ shasum -a 256 CentOS-7-x86_64-NetInstall-1810.iso

След това отворете файла sha256sum.txt.asc и проверите дали изчислената по-горе контрола сума съвпада с тези срещу името на файла. Ако има съвпадение, то изтегленото инсталационно ISO изображение е автентично.

 

Последна актуализация: 18 март 2019

2019 УНИТе, Веселин Колев