Vérification de l'intégrité d'un paquet Debian dans les archives
Le
Alexandre Delanoë

Bonjour,
tout est dans le titre.
En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/
Avant de l'installer, j'aimerais vérifier son intégrité (checksum md5,
sha*).
Comment procéder ?
Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une réponse
adéquate avec les termes de mes requêtes.
Merci de votre aide,
Alexandre
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130529071637.GA30032@delanoe.org
tout est dans le titre.
En d'autre termes, je récupère un paquet ici:
http://snapshot.debian.org/package/linux/
Avant de l'installer, j'aimerais vérifier son intégrité (checksum md5,
sha*).
Comment procéder ?
Si vous avez un lien, je vous remercie. Je n'ai pas trouvé une réponse
adéquate avec les termes de mes requêtes.
Merci de votre aide,
Alexandre
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/20130529071637.GA30032@delanoe.org
Généralement je télécharge un package (sur ton site par exemple) ai nsi
que son fichier .dsc correspondant qui contient la somme de contrôle
des archives et je les compares avec le résultat de la commande md5sum
package_téléchargé, sha1sum package_téléchargé, etc ...
Le 29/05/2013, Alexandre Delanoë
--
< Belaid >
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Alexandre Delanoë
Tu peux simplement utiliser les snapshots comme des dépots signés:
deb http://snapshot.debian.org/archive/debian/20120226/ wheezy main
te fait une entrée vers les paquets wheezy du 26 Février 2012 par exemple.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
En particulier:
Année 2013, mercredi 29 mai, vers 10:54, François Boisson écrivait:
Joli!
Merci pour l'exemple qui est éclairant.
Bonne journée.
Alexandre
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Je pensais que l'idée était de vérifier la signature d'un paquet .deb.
Auquel cas, dpkg-sig est l'outil adéquat.
Jean-Marc
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Justement, j'avais testé mais cela ne fonctionnait pas:
debsig-verify linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb
debsig: linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb
does not appear to be a deb format package
Je me suis donc dit que je n'avais pas la bonne méthode. J'ai pourtant
regardé le man...
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
debsig-verify != dpkg-sig
Donc je teste:
dpkg-sig -c *
Processing linux-headers-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Processing linux-headers-3.6-trunk-common_3.6.9-1~experimental.1_amd64.deb...
Processing linux-image-3.6-trunk-amd64_3.6.9-1~experimental.1_amd64.deb...
Mais je ne suis pas plus avancé que cela. Je dois relire le man mais
c'est effectivement le genre de truc que je cherchais initialement.
--
Alexandre
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
J'ai jeté un œil sur la doc.
Un début d'explication sur l'authenticité :
http://www.debian.org/doc/manuals/debian-reference/ch02.fr.html#_verification_of_installed_package_files
Jean-Marc
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Content-Type: text/plain; charset=windows-1252
Content-Transfer-Encoding: quoted-printable
Bonjour,
Debsums (dans ton lien) effectue une vérification sur les paquets deja
installés en vérifiant une base de donnée local. La personne qui a ou vert
se sujet voulait un système de vérification d'un paquet avant même so n
installation
Le 30 mai 2013 07:32, "Jean-Marc"
--047d7b5d30bed7b6b704ddeb27dc
Content-Type: text/html; charset=windows-1252
Content-Transfer-Encoding: quoted-printable
<p>Bonjour,<br>
Debsums (dans ton lien) effectue une vérification sur les paquets deja in stallés en vérifiant une base de donnée local. La personne qui a ouve rt se sujet voulait un système de vérification d'un paquet avant m ême son installation</p>
On 29/05/13 17:33, Alexandre Delanoë wrote:<br>
Année 2013, mercredi 29 mai, vers 13:33, Alexandre Delanoë écrivait:< br>
Je pensais que l'idée était de vérifier la signature d'un paq uet .deb.<br>
Auquel cas, dpkg-sig est l'outil adéquat.<br>
</blockquote></blockquote>
debsig-verify != dpkg-sig<br>
<br>
Donc je teste:<br>
dpkg-sig -c *<br>
Processing linux-headers-3.6-trunk-amd64_ Processing linux-headers-3.6-trunk- Processing linux-image-3.6-trunk-amd64_3. <br>
Mais je ne suis pas plus avancé que cela. Je dois relire le man mais<br>
c'est effectivement le genre de truc que je cherchais initialement.<br>
</blockquote>
<br>
J'ai jeté un il sur la doc.<br>
Un début d'explication sur l'authenticité :<br>
<br>
--<br>
Alexandre<br>
<br>
</blockquote>
<br>
Jean-Marc<br>
<br>
-- <br>
Lisez la FAQ de la liste avant de poser une question :<br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe "<br>
vers En cas de soucis, contactez EN ANGLAIS Archive: <br>
</blockquote></div>
--047d7b5d30bed7b6b704ddeb27dc--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Salut Alexandre,
Il existe une explication de SecureAPT sur le wiki de Debian :
http://wiki.debian.org/SecureApt
Cela explique comment vérifier l'intégrité des paquets.
Apparemment, on ne le fait pas au niveau des paquets mais de la release
via le fichier Release et sa signature Release.gpg. Ce fichier Release
contient les hashes des paquets. S'il est intègre de par sa signature,
tu peux considérer les hashes comme base pour vérifier l'intégrité des
paquest.
Plus d'explications sur le wiki.
J'espère que cela pourra t'aider.
Jean-Marc
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/