Wie kann ich Solaris-Bilder zuverlässig überprüfen?

338
Sam

Ich möchte meine heruntergeladene ISO-Datei für die Installation von Solaris überprüfen, aber ich kann nur MD5-Prüfsummen finden, die durch einfaches http ( http://download.oracle.com/otn/solaris/11_3/md5sum.txt ) bereitgestellt werden. Das ist meiner Meinung nach nicht sicher genug .

Wie kann ich einen SHA-256- oder höheren Hash über TLS von offiziellen Ressourcen erhalten?

-1

2 Antworten auf die Frage

0
c0t0d0s0

Wenn Sie versuchen, das Medium über den MOS-Hinweis 1277964.1 herunterzuladen, werden Ihnen dabei die Digests in MD5 und SHA1 angezeigt. Gleiches gilt für edelivery.oracle.com

Beide Websites verwenden TLS. Sie benötigen jedoch ein Oracle-SSO-Konto. MOS benötigt eine gültige Support-ID, edelivery.oracle.com nicht.

Ich habe ein Konto registriert und fragt nach "Support Identifier". Muss ich dafür bezahlen? Sam vor 6 Jahren 0
Tut mir leid, das direkt zu fragen, aber Sie haben Angst, ein kompaktisiertes Betriebssystem von der ursprünglichen Domäne herunterzuladen. Sie möchten es jedoch ohne Supportvereinbarung ausführen, um Sicherheitsupdates zu erhalten? c0t0d0s0 vor 6 Jahren 0
Von Wikipedia: "Wenn Solaris ohne Supportvertrag verwendet wird, kann es auf jedes neue" Point-Release "aktualisiert werden. Für den Zugriff auf Patches und Updates, die monatlich veröffentlicht werden, ist jedoch ein Supportvertrag erforderlich." Eine kleine Verzögerung der Patches erscheint mir im Vergleich zu einem kompromittierten Betriebssystem von Anfang an weniger gruselig. Sam vor 6 Jahren 0
Nun, die Veröffentlichung von Solaris 11.3 GA stammt vom 26. Oktober 2015. Ich kann nicht über die 11. nächste Version sprechen. So ist es vor 19 Monaten. Der Verizon-DBIR-Bericht enthielt einen interessanten Abschnitt, der feststellte, dass innerhalb eines Jahres nach dem Börsengang eines CVE ein Exploit stattfinden wird. Ich denke jedoch, dass die Verwendung eines Dot-Releases eine gute Idee für das Testen von Spielen und so weiter ist. Alles, was wirklich die Sicherheit eines überprüften Installations-Images mit Prüfsumme erfordert, sollte nicht ohne Patch ausgeführt werden. c0t0d0s0 vor 6 Jahren 0
Ich glaube wirklich, dass die Risikowahrnehmung hier nicht wirklich in der richtigen Reihenfolge liegt. c0t0d0s0 vor 6 Jahren 0
Ein MD5-validiertes ISO von download.oracle.com ist wahrscheinlich das Richtige. Wenn Sie wirklich Angst vor einer kompromittierten Binärdatei haben oder daran denken, dass alle Binärdateien in Solaris kryptografisch signiert sind (Sie können dies mit elfsign -v überprüfen), gibt es sogar ein Konzept des vertrauenswürdigen Bootens, das nur den von Oracle oder von Ihnen selbst signierten Kernel erlaubt mit SPARC-Systemen ab T5. Bitte beachten Sie, dass eine Überprüfung von pkg alle Dateien anhand der SHA1-Prüfsummen im Repository von Oracle verifizieren kann. c0t0d0s0 vor 6 Jahren 0
Es ist nicht praktisch, jede Datei manuell zu überprüfen, aber ich denke, das ist es. Wir können keinen sicheren Download erhalten, ohne zu zahlen, wie Sie sagten. Sam vor 6 Jahren 0
Das ist nicht richtig. edelivery.oracle.com funktioniert ohne Support-ID ... und dort können Sie auch SHA1 Digest anzeigen. c0t0d0s0 vor 6 Jahren 0
Ich habe das versucht und es gelingt, das sollte die wirkliche Antwort sein. Warum hast du das nicht am Anfang gesagt? Sam vor 6 Jahren 0
Ich habe .. ".... Gleiches, wenn Sie edelivery.oracle.com verwenden". Ich wollte nur erklären, dass ich Ihre Rangfolge der Risiken ziemlich seltsam finde. c0t0d0s0 vor 6 Jahren 1
-1
quadruplebucky

Viel Glück damit.

Oracle vertreibt weithin MD5- und SHA-1-Prüfsummen von Installations-Isos. Sie sind jedoch nur dazu da, um zu überprüfen, ob die Datei unterwegs nicht zu sehr verstümmelt wurde.

Das ist vielleicht am besten. Ein SHA-256-Hash von einem beliebigen Webserver, TLS oder nicht, liefert mir wirklich nichts anderes als falsche, warme Fuzzies.

Tut mir leid, wenn das hart oder zynisch klingt, aber wenn diese Checksummen-Datei nicht von jemandem signiert ist, den ich persönlich kenne und respektiere, ist das ungefähr so ​​gut wie alles, worauf ich mich einlasse, etwa Craigslist.

Verwandte Probleme