Vérification de l'intégrité d'un paquet Debian dans les archives

Le
Alexandre Delanoë
Bonjour,
tout est dans le titre.

En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/

Avant de l'installer, j'aimerais vérifier son intégrité (checksum md5,
sha*).

Comment procéder ?

Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une réponse
adéquate avec les termes de mes requêtes.

Merci de votre aide,
Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130529071637.GA30032@delanoe.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Belaïd MOUNSI
Le #25441622
Bonjour,
Généralement je télécharge un package (sur ton site par exemple) ai nsi
que son fichier .dsc correspondant qui contient la somme de contrôle
des archives et je les compares avec le résultat de la commande md5sum
package_téléchargé, sha1sum package_téléchargé, etc ...

Le 29/05/2013, Alexandre Delanoë
Bonjour,
tout est dans le titre.

En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/

Avant de l'installer, j'aimerais vérifier son intégrité (checksum m d5,
sha*).

Comment procéder ?

Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une répons e
adéquate avec les termes de mes requêtes.

Merci de votre aide,
Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/






--
< Belaid >

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
François Boisson
Le #25441662
Le Wed, 29 May 2013 09:16:37 +0200
Alexandre Delanoë
Bonjour,
tout est dans le titre.

En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/

Avant de l'installer, j'aimerais vérifier son intégrité (checksum md5,
sha*).

Comment procéder ?

Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une réponse
adéquate avec les termes de mes requêtes.



Tu peux simplement utiliser les snapshots comme des dépots signés:

deb http://snapshot.debian.org/archive/debian/20120226/ wheezy main

te fait une entrée vers les paquets wheezy du 26 Février 2012 par exemple.

François Boisson

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Alexandre Delanoë
Le #25441772
Merci pour vos réponses.

En particulier:

Année 2013, mercredi 29 mai, vers 10:54, François Boisson écrivait:
Tu peux simplement utiliser les snapshots comme des dépots signés:
[...]



Joli!
Merci pour l'exemple qui est éclairant.

Bonne journée.

Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Marc
Le #25441952
On Wed, 29 May 2013 11:09:58 +0200, Alexandre Delanoë
Merci pour vos réponses.

En particulier:

Année 2013, mercredi 29 mai, vers 10:54, François Boisson écrivait:
Tu peux simplement utiliser les snapshots comme des dépots signés:
[...]





Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.


Joli!
Merci pour l'exemple qui est éclairant.

Bonne journée.

Alexandre




Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Alexandre Delanoë
Le #25442522
Année 2013, mercredi 29 mai, vers 11:43, Jean-Marc écrivait:
Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.



Justement, j'avais testé mais cela ne fonctionnait pas:

debsig-verify linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb
debsig: linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb
does not appear to be a deb format package

Je me suis donc dit que je n'avais pas la bonne méthode. J'ai pourtant
regardé le man...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Alexandre Delanoë
Le #25443122
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait:
> Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
> Auquel cas, dpkg-sig est l'outil adéquat.



debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.
--
Alexandre

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Marc
Le #25444542
On 29/05/13 17:33, Alexandre Delanoë wrote:
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait:
Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.




debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.



J'ai jeté un œil sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/manuals/debian-reference/ch02.fr.html#_verification_of_installed_package_files

--
Alexandre




Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Belaïd MOUNSI
Le #25445012
--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

Bonjour,
Debsums (dans ton lien) effectue une vérification sur les paquets deja
installés en vérifiant une base de donnée local. La personne qui a ou vert
se sujet voulait un système de vérification d'un paquet avant même so n
installation
Le 30 mai 2013 07:32, "Jean-Marc"
On 29/05/13 17:33, Alexandre Delanoë wrote:

Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivai t:

Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.



debsig-verify != dpkg-sig



Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_**3.6.9-1~experimental.1_amd64. *
*deb...
Processing linux-headers-3.6-trunk-**common_3.6.9-1~experimental.1_**
amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.**6.9-1~experimental.1_amd64.**
deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.




J'ai jeté un œil sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/**manuals/debian-reference/ch02.**
fr.html#_verification_of_**installed_package_files
--
Alexandre




Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/**FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@**lists.debian.org En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/**




--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable

<p>Bonjour,<br>
Debsums (dans ton lien) effectue une vérification sur les paquets deja in stallés en vérifiant une base de donnée local. La personne qui a ouve rt se sujet voulait un système de vérification d&#39;un paquet avant m ême son installation</p>

On 29/05/13 17:33, Alexandre Delanoë wrote:<br>
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait:< br>
Je pensais que l&#39;idée était de vérifier la signature d&#39;un paq uet .deb.<br>
Auquel cas, dpkg-sig est l&#39;outil adéquat.<br>
</blockquote></blockquote>
debsig-verify != dpkg-sig<br>
<br>
Donc je teste:<br>
dpkg-sig -c *<br>
Processing linux-headers-3.6-trunk-amd64_ Processing linux-headers-3.6-trunk- Processing linux-image-3.6-trunk-amd64_3. <br>
Mais je ne suis pas plus avancé que cela. Je dois relire le man mais<br>
c&#39;est effectivement le genre de truc que je cherchais initialement.<br>
</blockquote>
<br>
J&#39;ai jeté un œil sur la doc.<br>
Un début d&#39;explication sur l&#39;authenticité :<br>

<br>
--<br>
Alexandre<br>
<br>
</blockquote>
<br>
Jean-Marc<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>

--047d7b5d30bed7b6b704ddeb27dc--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Jean-Marc
Le #25448512
On Wed, 29 May 2013 17:33:43 +0200, Alexandre Delanoë

Salut Alexandre,

> Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
> Auquel cas, dpkg-sig est l'outil adéquat.



debsig-verify != dpkg-sig

Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...

Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.



Il existe une explication de SecureAPT sur le wiki de Debian :
http://wiki.debian.org/SecureApt

Cela explique comment vérifier l'intégrité des paquets.

Apparemment, on ne le fait pas au niveau des paquets mais de la release
via le fichier Release et sa signature Release.gpg. Ce fichier Release
contient les hashes des paquets. S'il est intègre de par sa signature,
tu peux considérer les hashes comme base pour vérifier l'intégrité des
paquest.

Plus d'explications sur le wiki.

J'espère que cela pourra t'aider.

--
Alexandre



Jean-Marc

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Publicité
Poster une réponse
Anonyme