KAL1 LINUX 官方文件之介紹 --- 下載Ka1i Linux
重要! 切勿從官方來源以外的任何地方下載ka1i Linux映象。請務必根據我們的官方值來驗證你下載的檔案的SHA256校驗和。惡意的實體很容易修改ka1i的安裝包,使其包含漏洞利用或惡意軟體,並以非官方的方式進行託管。下載速度限制在5個併發連線。
從哪裡獲得官方ka1i Linux映像
基於Intel PC的ISO檔案
為了在標準的Windows和蘋果電腦上用u盤執行ka1i "Live",你需要一個32位或64位格式的ka1i Linux可啟動ISO映象。
如果不確定 你想要在Linux或macOS上執行ka1i 的系統架構,你可以在命令列執行 uname -m命令。如果收到響應“ x86_64”,請使用64位ISO映象(檔名中包含“ amd64”的映象);如果得到“ i386”,請使用32位映象(檔名中包含“ i386”的映象)。
如果你使用的是Windows系統,確定你的架構是什麼的步驟在微軟的網站上有詳細說明。
ka1i Linux映象既可以直接下載“ .iso / .img”檔案獲得,也可以通過“ .torrent”檔案獲得。
官方iso下載連線 :https://www.ka1i.org/downloads/
構建您自己的(標準或自定義的)ka1i Linux ISO是一個非常簡單的過程。
VMware映象
如果你想在VMware下以 客戶機 (譯者注:在虛擬機器領域有個基本概念就是宿主機和客戶機,宿主機host就是真實的物理機,客戶機就是在物理機上虛擬的作業系統 )
官方VMware下載映象: https://www.offensive-security.com/ka1i-linux-vmware-virtualbox-image-download/
ARM映象
基於ARM的裝置的硬體架構差異很大,因此不可能有一個能在所有裝置上執行的單一映象。(譯者注:arm與相容的pc不同,針對不同的arm裝置有不同的arm映象,因為arm是為嵌入式裝置而設計的,arm架構的cpu或soc中可能包含基帶,記憶體等等,要想驅動它們就要定製映象檔案,因此也導致了arm的複雜性)
官方arm下載映象:https://www.offensive-security.com/ka1i-linux-arm-images/
GitLab上還提供了用於在本地構建自己的ARM映像的指令碼。有關更多詳細資訊,請參閱有關設定ARM交叉編譯環境和構建自定義ka1i Linux ARM chroot的文章。
譯者注:注意arm映象包含樹莓派、友善之臂,谷歌筆記本等arm開發板桌面版映象,但不包含ka1i nethunter 手機的映象
驗證您下載的ka1i映像
為什麼我需要這樣做?
在你執行ka1i Linux Live,或將其安裝到硬碟之前,你要非常確定你得到的實際上是ka1i Linux,而不是冒牌貨。ka1i Linux是一個專業的滲透測試和取證工具包。作為一個專業的滲透測試人員,對工具的完整性有絕對的信心是至關重要的:如果你的工具不值得信任,你的調查也不會值得信任。
此外,作為領先的滲透測試發行版,ka1i的優勢意味著,如果一個假的ka1i Linux版本被不知不覺地部署,將會造成對方巨大的損失。有很多人有足夠的理由想把非常值得懷疑的東西塞進ka1i,你絕對不想發現自己在執行這樣的東西。
避免這種情況很簡單:
1.只有通過官方下載頁面 https://www.ka1i.org/downloads 或 https://www.offensive-security.com/ka1i-linux-mware-arm-image-download/ 下載 ka1i Linux,沒有ssl連線您將無法瀏覽到這些頁面;加密連線使攻擊者更難使用 "中間人 "攻擊來修改你的下載。即使是這些來源,也有一些潛在的弱點--請看 關於用SHA256SUMS檔案和它的簽名與ka1i開發團隊的官方私鑰驗證下載的文章部分,以獲得近乎絕對的保證。(譯者注:一個檔案是不是來自於官方要做到。來源安全,連線通道安全和本地安全,來源安全就是一定要官方網站下載,連線通道安全用帶有ssl連線的網站就可以保證傳輸途中不能被篡改,本地安全指的是有時候作業系統或瀏覽器或下載工具等會篡改你的檔案,比如手機NC瀏覽器現在還在偷偷篡改你的下載檔案,用密碼摘要和簽名去驗證檔案的官方性和完整性,什麼是摘要,這是密碼學的概念,簡單理解就是檔案ID,一個檔案對應一個唯一ID,如果檔案篡改或替換就會與官方給出的ID不同,那麼要是官方ID也被篡改了,那腫麼辦,還有一個必殺技就是檔案簽名,官方會將官方ID用自己的私鑰進行簽名,我們要用公鑰去解密簽名檔案去驗證ID的正確性,私鑰只有官方一把,要篡改檔案簽名不是沒有可能的只是要破戒起來要用超級計算機計算上千年破戒出來篡改者人都沒了但量子計算機將這點變為可能,或者還有可能冒充官方簽名檔案這點也幾乎做不到,因為ka1i官方簽名來自於國家公信力機構給予的認證,或者還有可能偷取儲存在ka1i官方計算機伺服器上的私鑰,這點是最有可能發生的,但也要費一番功夫)
2.一旦你下載映象後,在執行映象之前,請始終使用以下詳細過程之一驗證其校驗和,以驗證其確實是真實的。
有幾種方法可以驗證你的下載。每種方法都能提供一定程度的保證,並需要您付出相應的努力。
1.你可以從官方的 ka1i Linux "下載 "映象中下載一個 ISO 映象,計算 ISO 的 SHA256 雜湊值,並通過檢查與 ka1i Linux 站點上列出的值進行比較。這個方法簡單快捷,但有可能被DNS投毒所顛覆:例如 它假設域名 "ka1i.org "解析到的網站實際上是真正的ka1i Linux網站。如果它不是,攻擊者就可以在假網頁上顯示一個 "載入 "的映象和匹配的SHA256簽名。請參閱下面的 "手動驗證ISO上的簽名(直接下載)"一節。
2.你可以通過torrents下載一個ISO映象,它也會下載一個檔案--未簽名--包含計算出的SHA256摘要。然後,你可以使用shasum命令(在Linux和macOS上)或一個實用程式(在Windows上)來自動驗證檔案的計算簽名與輔助檔案中的簽名相匹配。這甚至比 "手動 "方法更簡單,但也有同樣的弱點:如果您下載的 torrent 並不是真正的 ka1i Linux,它仍然可能有一個正確的摘要。請參閱下面的 "使用包含的簽名檔案(torrent下載)驗證ISO上的簽名 "一節。
3.為了儘可能地絕對確定你所獲得的ka1i Linux下載是真實的,你可以同時下載一個明文摘要檔案和同一個檔案的版本,該檔案已經用ka1i Linux官方私鑰簽名,並使用GNU Privacy Guard (GPG)首先驗證計算出的SHA256摘要和明文檔案中的摘要是否匹配,其次,驗證包含SHA256雜湊值的檔案的簽名版本是否已經用官方金鑰正確簽名。
如果你用了這個更復雜的步驟,併成功地驗證您下載的ISO,你可以獲得相當完美的保證,你已經得到了官方的映象並沒有以任何方式被篡改。這種方法雖然最複雜,但它的優點是可以獨立保證映象的完整性。這種方法失敗的唯一方式是,如果ka1i Linux官方私鑰不僅被攻擊者顛覆,而且隨後沒有被ka1i Linux開發團隊及時撤銷。關於這種方法,請參見使用SHA256SUMS檔案進行驗證的部分。
我具體需要做些什麼?
如果您在Linux上執行,則可能已經安裝了GPG(GNU Privacy Guard)。如果您使用Windows或macOS,則需要為平臺安裝適當的版本。
如果您使用的是執行Windows的PC,請從此處下載並安裝GPG4Win。如果您使用的是執行Windows的PC,請從此處下載並安裝GPG4Win。Windows的某些版本沒有本機能力來計算SHA256校驗和。要檢查這一點,可以開啟命令提示符並執行certutil -?
。如果確實安裝了此軟體,則可以執行certutil -hashfile ka1i-linux-2020.3-live-amd64.iso sha256
以驗證下載。如果尚未certutil
安裝,則還需要諸如Microsoft File Checksum Integrity Verifier或Hashtab之類的實用程式來驗證下載。
如果您使用的是執行macOS的Macintosh,請從此處下載並安裝GPGTools。另外,如果您安裝了Homebrew,只需執行brew install gnupg
安裝GPG後,您需要下載並匯入ka1i Linux官方公鑰的副本。使用以下命令執行此操作:
$ wget -q -O - https://archive.ka1i.org/archive-key.asc | gpg --import
或命令
$ gpg --keyserver hkp://keys.gnupg.net --recv-key 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
您的輸出應如下所示:
gpg: key ED444FF07D8D0BF6: public key "ka1i Linux Repository <[email protected]>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
使用以下命令驗證公鑰是否正確安裝:
$ gpg --fingerprint 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
輸出將如下所示:
pub rsa4096 2012-03-05 [SC] [expires: 2023-01-16] 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6 uid [ full] ka1i Linux Repository <[email protected]> sub rsa4096 2012-03-05 [E] [expires: 2023-01-16]
現在,您已設定為驗證您的ka1i Linux下載。
如何驗證下載的影象?
手動驗證ISO上的簽名(直接下載)
如果直接從下載頁面下載了ISO,請使用以下過程進行驗證。
在Linux或macOS上,您可以使用以下命令從已下載的ISO映像生成SHA256校驗和(假設ISO映像名為“ ka1i-linux-2020.3-live-amd64.iso”,並且位於當前目錄):
$ shasum -a 256 ka1i-linux-2020.3-live-amd64.iso
輸出應如下所示:
1a0b2ea83f48861dd3f3babd5a2892a14b30a7234c8c9b5013a6507d1401874f ka1i-linux-2020.3-live-amd64.iso
可以看到生成的SHA256簽名“ 1a0b2ea83f48861dd3f3babd5a2892a14b30a7234c8c9b5013a6507d1401874f”與64位Intel體系結構ka1i Linux 2020.3 ISO映像的官方下載頁面上的“ sha256sum”列中顯示的簽名匹配:
使用隨附的簽名檔案驗證ISO上的簽名(Torrent下載)
如果通過torrent下載了ka1i Linux ISO映像的副本,除了ISO檔案(例如,ka1i-linux-2020.3-live-amd64.iso)外,還會有第二個檔案包含ISO的已計算SHA256簽名。 ,副檔名為“ .txt.sha256sum”(例如ka1i-linux-2020.3-live-amd64.txt.sha256sum)。您可以使用此檔案通過以下命令來驗證您在Linux或macOS上下載的真實性:
$ grep ka1i-linux-2020.3-live-amd64.iso ka1i-linux-2020.3-live-amd64.txt.sha256sum | shasum -a 256 -c
如果映象成功通過身份驗證,則響應將如下所示:
ka1i-linux-2020.3-live-amd64.iso:
重要!如果您無法如前一節所述驗證已下載的ka1i Linux映像的真實性,請不要使用它!使用它不僅可能危害您自己的系統,而且會危害您連線到的任何網路以及該網路上的其他系統。停止,並確保您已經從合法的ka1i Linux映象下載了映像。
使用SHA256SUMS檔案驗證ISO
這是一個更復雜的過程,但是提供了更高級別的驗證:它不依賴於您從中下載映像的網站的完整性,僅依賴於您獨立安裝的ka1i Linux開發團隊官方金鑰。要以這種方式針對ka1i的英特爾體系結構版本驗證映像,您需要從ka1i“ Live CD Image”站點下載當前版本的三個檔案(截至撰寫本文時為v2020.3):
- ISO映像本身(例如,ka1i-linux-2020.3-live-amd64.iso)
- 包含為ISO SHA256SUMS計算的SHA256雜湊的檔案
- 該檔案的簽名版本SHA256SUMS.gpg
在驗證映像的校驗和之前,必須確保SHA256SUMS檔案是ka1i生成的檔案。這就是為什麼檔案由ka1i的官方金鑰在SHA256SUMS.gpg中使用分離的簽名進行簽名的原因。如果您尚未這樣做,則可以使用以下命令下載ka1i的官方金鑰並將其匯入您的金鑰鏈:
$ wget -q -O - https://www.ka1i.org/archive-key.asc | gpg --import
或這個命令
$ gpg --keyserver hkp://keys.gnupg.net --recv-key 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
您的輸出應如下所示:
gpg: key ED444FF07D8D0BF6: public key "ka1i Linux Repository <[email protected]>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
您應該使用以下命令驗證金鑰是否正確安裝:
$ gpg --fingerprint 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
輸出將如下所示:
pub rsa4096 2012-03-05 [SC] [expires: 2023-01-16] 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6 uid [ full] ka1i Linux Repository <[email protected]> sub rsa4096 2012-03-05 [E] [expires: 2023-01-16]```
一旦下載了SHA256SUMS和SHA256SUMS.gpg,就可以按照以下方式驗證簽名:
$ gpg --verify SHA256SUMS.gpg SHA256SUMS gpg: Signature made Mon Sep 2 06:42:05 2019 EDT gpg: using RSA key 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6 gpg: Good signature from "ka1i Linux Repository <[email protected]>" [full]
如果沒有收到“ Good signature”訊息,或者金鑰ID不匹配,則應該停止並檢查是否從合法的ka1i Linux映象下載了映象。失敗的驗證強烈暗示您所擁有的映象可能已被篡改。
如果您確實獲得了“正確簽名Good signature”響應,則現在可以放心,SHA256SUMS檔案中的校驗和實際上是由ka1i Linux開發團隊提供的。完成驗證所需要做的所有工作就是驗證從下載的ISO計算得出的摘要是否與SHA256SUMS檔案中的摘要匹配。您可以使用以下命令在Linux或macOS上執行此操作(假設ISO名為“ ka1i-linux-2020.3-live-amd64.iso”並且在您的工作目錄中):
$ grep ka1i-linux-2020.3-live-amd64.iso SHA256SUMS | shasum -a 256 -c
如果影象成功通過身份驗證,則響應將如下所示:
ka1i-linux-2020.3-live-amd64.iso: OK
如果你沒有得到 "OK "的迴應,那就停下來回顧一下發生了什麼:你所擁有的ka1i影象顯然已經被篡改了。不要使用它。
下載並驗證映像後,即可繼續建立可啟動的“ ka1i Linux Live” USB驅動器。