Как проверить изображения Solaris надежным способом?

274
Sam

Я хочу проверить загруженный установочный ISO-файл Solaris, но я могу найти только контрольные суммы MD5, предоставленные простым http ( http://download.oracle.com/otn/solaris/11_3/md5sum.txt ), я думаю, что это недостаточно безопасно. ,

Как я могу получить SHA-256 или более высокий хэш через TLS с официального ресурса?

-1

2 ответа на вопрос

0
c0t0d0s0

Когда вы пытаетесь загрузить носитель через MOS Note 1277964.1, вам предлагается просмотреть дайджесты в md5 и sha1 в процессе. То же самое, когда вы используете edelivery.oracle.com

Оба сайта используют TLS. Однако вам нужна учетная запись Oracle SSO. MOS нужен действительный идентификатор поддержки, edelivery.oracle.com нет.

Я зарегистрировал аккаунт, и он спрашивает у меня «Идентификатор поддержки», должен ли я платить за него? Sam 6 лет назад 0
Извините, что спрашиваю об этом напрямую, но вы боитесь загрузить взломанную операционную систему из исходного домена, но вы хотите запустить ее, не имея соглашения о поддержке, чтобы получить исправления безопасности? c0t0d0s0 6 лет назад 0
Из википедии: «Когда Solaris используется без контракта на поддержку, его можно обновить до каждого нового« точечного выпуска »; однако для доступа к исправлениям и обновлениям, которые выпускаются ежемесячно, требуется контракт на поддержку». Небольшая задержка исправлений кажется мне гораздо менее пугающей по сравнению с скомпрометированной ОС с самого начала. Sam 6 лет назад 0
Ну, выпуск Solaris 11.3 GA с 26 октября 2015 года. Я не могу говорить о выпуске 11.next. Итак, это 19 месяцев назад. В отчете Verizon DBIR был интересный раздел, в котором говорилось, что в течение года после опубликования CVE появится эксплойт. Тем не менее, я думаю, что использование точечного релиза - хорошая идея для тестирования игры и так далее. Но все, что действительно нуждается в безопасности установочного образа, проверенного контрольной суммой, не должно запускаться без исправлений. c0t0d0s0 6 лет назад 0
Я действительно считаю, что восприятие риска в этом не действительно сложено в правильном порядке. c0t0d0s0 6 лет назад 0
Утвержденный MD5 iso с download.oracle.com, вероятно, является реальным. Если вы действительно боитесь скомпрометированного бинарного файла или имейте ввиду, что все бинарные файлы в Solaris имеют криптографическую подпись (вы можете проверить это с помощью elfsign -v), есть даже концепция доверенной загрузки, позволяющая загружать только ядро, подписанное oracle, или вы сами. с системами SPARC начиная с T5. Помните, что pkg verify может проверять все файлы по контрольным суммам SHA1 в репозитории Oracle. c0t0d0s0 6 лет назад 0
Проверять каждый файл вручную не практично, однако, полагаю, что это так, мы не можем получить безопасную загрузку без оплаты, как вы сказали. Sam 6 лет назад 0
Это не правильно. edelivery.oracle.com работает без идентификатора поддержки ... и там вы также можете просмотреть дайджест SHA1 .... c0t0d0s0 6 лет назад 0
Я попробовал это и добился успеха, это должен быть реальный ответ. Почему ты не сказал это в начале? Sam 6 лет назад 0
Я сделал .. ".... То же самое, когда вы используете edelivery.oracle.com". Я просто хотел объяснить, что я считаю ваш рейтинг рисков довольно странным. c0t0d0s0 6 лет назад 1
-1
quadruplebucky

Удачи с этим.

Oracle широко распространяет контрольные суммы MD5 и SHA-1 установочных iso, но они на самом деле просто для того, чтобы убедиться, что файл не слишком искажен в пути.

Возможно, это лучше. Хэш SHA-256 от любого веб-сервера, TLS или нет, на самом деле не доставляет мне ничего, кроме ложных теплых размышлений.

Извините, если это прозвучит грубо или цинично, но если этот файл контрольных сумм не подписан gpg кем-то, кого я лично знаю и уважаю, он почти так же хорош, как и любой другой, скажем, craigslist.

Похожие вопросы