Установка Debian/Получение образа D-I

Наиболее «современным» способом загрузки (позволяющим, помимо прочего, поучаствовать в распространении образов любому желающему) является, несомненно, использование равноранговой сети BitTorrent. В частности, используя aria2c(1):

$ aria2c -- \
      http://cdimage.debian.org/debian-cd/7.6.0/amd64/bt-cd/debian-7.6.0-amd64-CD-1.iso.torrent 

Учитывая, что большую часть образа составляет некий набор предназначенных для установки на целевую систему пакетов (за исключением образов типа «businesscard», таких пакетов не содержащих вовсе), можно было бы пожелать загрузить эти пакеты с Debian-зеркал «общего назначения», загрузив с http://cdimage.debian.org/ лишь только собственно D-I (и, возможно, некие служебные данные.) Такую возможность предоставляет инструмент Jigdo; например:

$ cat < ~/.jigdo-lite 
jigdo=
debianMirror='http://http.debian.net/debian/'
nonusMirror=
tmpDir='.'
jigdoOpts='--cache jigdo-file-cache.db'
wgetOpts='--passive-ftp --dot-style=mega --continue --timeout=30'
scanMenu=
$ wget -x -- \
      http://cdimage.debian.org/debian-cd/7.6.0/amd64/jigdo-cd/debian-7.6.0-amd64-netinst.jigdo \
      http://cdimage.debian.org/debian-cd/7.6.0/amd64/jigdo-cd/debian-7.6.0-amd64-netinst.template 
$ jigdo-lite --noask \
      cdimage.debian.org/debian-cd/6.0.6/amd64/jigdo-cd/debian-6.0.6-amd64-netinst.jigdo 

(При использовании HTTP proxy, переменная окружения http_proxy=, или иные применимые, должны быть, очевидно, установлены нужным образом.)

Загруженный как описано выше файл будет, как правило, в точности соответствовать выпущенному проектом Debian. Однако, тем из нас, кто привык уделять чуть больше внимания вопросам «информационной безопасности», этому факту наверняка потребуется подтверждение.

Проверить целостность образа можно по файлам *SUMS, также размещаемым на несущих установочные образы зеркалах Debian. Например:

$ wget -x -- \
      cdimage.debian.org/debian-cd/7.6.0/amd64/iso-cd/SHA256SUMS 
$ grep -F -- debian-7.6.0-amd64-netinst.iso \
      cdimage.debian.org/debian-cd/7.6.0/amd64/iso-cd/SHA256SUMS \
      | sha256sum -c 
debian-7.6.0-amd64-netinst.iso: OK
$ 

Ясно, однако, что файлы *SUMS могут, в свою очередь, сами быть повреждены (подменены) при передаче. Для их проверки можно использовать файлы электронной цифровой подписи (.sign) OpenPGP (GnuPG.)

Здесь, однако, существует особенность: известно, что открытые ключи Debian-архива и разработчиков Debian можно найти в самой системе (пакеты debian-archive-keyring и debian-keyring, соответственно; первый из этих пакетов почти наверняка окажется установлен в конкретной Debian-системе, поскольку является Priority: important.) Так, проверку полученного с произвольного зеркала .dsc-файла можно было бы выполнить подобно:

$ gpg --verify --keyring=/usr/share/keyrings/debian-keyring.gpg -- \
      http.debian.net/debian/pool/main/h/hello/hello_2.9-1.dsc 

Напротив, насколько известно автору, для проверки «подлинности» *SUMS-файлов потребуется получить соответствующий ключ из «незащищенного» источника.^[1]

Отметим, что при использовании debootstrap(8) для установки системы на целевой носитель, проверка целостности выполняется автоматически, с использованием открытых ключей пакета debian-archive-keyring установленной системы.

• BitTorrent
• news:87fw1zbhuv.fsf@violet.siamics.net (оригинал данного материала.)