重要! 切勿从官方来源以外的任何地方下载ka1i Linux镜像。请务必根据我们的官方值来验证你下载的文件的SHA256校验和。恶意的实体很容易修改ka1i的安装包,使其包含漏洞利用或恶意软件,并以非官方的方式进行托管。下载速度限制在5个并发连接。
从哪里获得官方ka1i Linux映像
基于Intel PC的ISO文件
为了在标准的Windows和苹果电脑上用u盘运行ka1i "Live",你需要一个32位或64位格式的ka1i Linux可启动ISO镜像。
如果不确定 你想要在Linux或macOS上运行ka1i 的系统架构,你可以在命令行执行 uname -m命令。如果收到响应“ x86_64”,请使用64位ISO镜像(文件名中包含“ amd64”的镜像);如果得到“ i386”,请使用32位镜像(文件名中包含“ i386”的镜像)。
如果你使用的是Windows系统,确定你的架构是什么的步骤在微软的网站上有详细说明。
ka1i Linux镜像既可以直接下载“ .iso / .img”文件获得,也可以通过“ .torrent”文件获得。
官方iso下载连接 :https://www.ka1i.org/downloads/
构建您自己的(标准或自定义的)ka1i Linux ISO是一个非常简单的过程。
VMware镜像
如果你想在VMware下以 客户机 (译者注:在虚拟机领域有个基本概念就是宿主机和客户机,宿主机host就是真实的物理机,客户机就是在物理机上虚拟的操作系统 )的身份运行ka1i Linux,现可获取具有预装了VMware Tools的预建VMware虚拟机。VMware镜像有64位(amd64)、32位(i686)和32位PAE(i486)三种格式。
官方VMware下载镜像: https://www.offensive-security.com/ka1i-linux-vmware-virtualbox-image-download/
ARM镜像
基于ARM的设备的硬件架构差异很大,因此不可能有一个能在所有设备上运行的单一镜像。(译者注:arm与兼容的pc不同,针对不同的arm设备有不同的arm镜像,因为arm是为嵌入式设备而设计的,arm架构的cpu或soc中可能包含基带,内存等等,要想驱动它们就要定制镜像文件,因此也导致了arm的复杂性)针对ARM架构的预建ka1i Linux映像可用于各种设备。
官方arm下载镜像:https://www.offensive-security.com/ka1i-linux-arm-images/
GitLab上还提供了用于在本地构建自己的ARM映像的脚本。有关更多详细信息,请参阅有关设置ARM交叉编译环境和构建自定义ka1i Linux ARM chroot的文章。
译者注:注意arm镜像包含树莓派、友善之臂,谷歌笔记本等arm开发板桌面版镜像,但不包含ka1i nethunter 手机的镜像
验证您下载的ka1i映像
为什么我需要这样做?
在你运行ka1i Linux Live,或将其安装到硬盘之前,你要非常确定你得到的实际上是ka1i Linux,而不是冒牌货。ka1i Linux是一个专业的渗透测试和取证工具包。作为一个专业的渗透测试人员,对工具的完整性有绝对的信心是至关重要的:如果你的工具不值得信任,你的调查也不会值得信任。
此外,作为领先的渗透测试发行版,ka1i的优势意味着,如果一个假的ka1i Linux版本被不知不觉地部署,将会造成对方巨大的损失。有很多人有足够的理由想把非常值得怀疑的东西塞进ka1i,你绝对不想发现自己在运行这样的东西。
避免这种情况很简单:
1.只有通过官方下载页面 https://www.ka1i.org/downloads 或 https://www.offensive-security.com/ka1i-linux-mware-arm-image-download/ 下载 ka1i Linux,没有ssl连接您将无法浏览到这些页面;加密连接使攻击者更难使用 "中间人 "攻击来修改你的下载。即使是这些来源,也有一些潜在的弱点--请看 关于用SHA256SUMS文件和它的签名与ka1i开发团队的官方私钥验证下载 的文章部分,以获得近乎绝对的保证。(译者注:一个文件是不是来自于官方要做到。来源安全,连接通道安全和本地安全,来源安全就是一定要官方网站下载,连接通道安全用带有ssl连接的网站就可以保证传输途中不能被篡改,本地安全指的是有时候操作系统或浏览器或下载工具等会篡改你的文件,比如手机NC浏览器现在还在偷偷篡改你的下载文件,用密码摘要和签名去验证文件的官方性和完整性,什么是摘要,这是密码学的概念,简单理解就是文件ID,一个文件对应一个唯一ID,如果文件篡改或替换就会与官方给出的ID不同,那么要是官方ID也被篡改了,那肿么办,还有一个必杀技就是文件签名,官方会将官方ID用自己的私钥进行签名,我们要用公钥去解密签名文件去验证ID的正确性,私钥只有官方一把,要篡改文件签名不是没有可能的只是要破戒起来要用超级计算机计算上千年破戒出来篡改者人都没了但量子计算机将这点变为可能,或者还有可能冒充官方签名文件这点也几乎做不到,因为ka1i官方签名来自于国家公信力机构给予的认证,或者还有可能偷取保存在ka1i官方计算机服务器上的私钥,这点是最有可能发生的,但也要费一番功夫)
2.一旦你下载镜像后,在运行镜像之前,请始终使用以下详细过程之一验证其校验和,以验证其确实是真实的。
有几种方法可以验证你的下载。每种方法都能提供一定程度的保证,并需要您付出相应的努力。
1.你可以从官方的 ka1i Linux "下载 "镜像中下载一个 ISO 镜像,计算 ISO 的 SHA256 哈希值,并通过检查与 ka1i Linux 站点上列出的值进行比较。这个方法简单快捷,但有可能被DNS投毒所颠覆:例如 它假设域名 "ka1i.org "解析到的网站实际上是真正的ka1i Linux网站。如果它不是,攻击者就可以在假网页上显示一个 "加载 "的镜像和匹配的SHA256签名。请参阅下面的 "手动验证ISO上的签名(直接下载)"一节。
2.你可以通过torrents下载一个ISO镜像,它也会下载一个文件--未签名--包含计算出的SHA256摘要。然后,你可以使用shasum命令(在Linux和macOS上)或一个实用程序(在Windows上)来自动验证文件的计算签名与辅助文件中的签名相匹配。这甚至比 "手动 "方法更简单,但也有同样的弱点:如果您下载的 torrent 并不是真正的 ka1i Linux,它仍然可能有一个正确的摘要。请参阅下面的 "使用包含的签名文件(torrent下载)验证ISO上的签名 "一节。
3.为了尽可能地绝对确定你所获得的ka1i Linux下载是真实的,你可以同时下载一个明文摘要文件和同一个文件的版本,该文件已经用ka1i Linux官方私钥签名,并使用GNU Privacy Guard (GPG)首先验证计算出的SHA256摘要和明文文件中的摘要是否匹配,其次,验证包含SHA256哈希值的文件的签名版本是否已经用官方密钥正确签名。
如果你用了这个更复杂的步骤,并成功地验证您下载的ISO,你可以获得相当完美的保证,你已经得到了官方的镜像并没有以任何方式被篡改。这种方法虽然最复杂,但它的优点是可以独立保证镜像的完整性。这种方法失败的唯一方式是,如果ka1i Linux官方私钥不仅被攻击者颠覆,而且随后没有被ka1i Linux开发团队及时撤销。关于这种方法,请参见使用SHA256SUMS文件进行验证的部分。
我具体需要做些什么?
如果您在Linux上运行,则可能已经安装了GPG(GNU Privacy Guard)。如果您使用Windows或macOS,则需要为平台安装适当的版本。
如果您使用的是运行Windows的PC,请从此处下载并安装GPG4Win 。如果您使用的是运行Windows的PC,请从此处下载并安装GPG4Win 。Windows的某些版本没有本机能力来计算SHA256校验和。要检查这一点,可以打开命令提示符并运行certutil -?。如果确实安装了此软件,则可以运行certutil -hashfile ka1i-linux-2020.3-live-amd64.iso sha256以验证下载。如果尚未certutil安装,则还需要诸如Microsoft File Checksum Integrity Verifier 或Hashtab之类的实用程序 来验证下载。
如果您使用的是运行macOS的Macintosh,请从此处下载并安装GPGTools 。另外,如果您安装了Homebrew,只需运行brew install gnupg
安装GPG后,您需要下载并导入ka1i Linux官方公钥的副本。使用以下命令执行此操作:
$ wget -q -O - https://archive.ka1i.org/archive-key.asc | gpg --import
或命令
$ gpg --keyserver hkp://keys.gnupg.net --recv-key 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
您的输出应如下所示:
gpg: key ED444FF07D8D0BF6: public key "ka1i Linux Repository <devel@ka1i.org>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
使用以下命令验证公钥是否正确安装:
$ gpg --fingerprint 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
输出将如下所示:
pub rsa4096 2012-03-05 [SC] [expires: 2023-01-16] 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6 uid [ full] ka1i Linux Repository <devel@ka1i.org> sub rsa4096 2012-03-05 [E] [expires: 2023-01-16]
现在,您已设置为验证您的ka1i Linux下载。
如何验证下载的图像?
手动验证ISO上的签名(直接下载)
如果直接从下载页面下载了ISO,请使用以下过程进行验证。
在Linux或macOS上,您可以使用以下命令从已下载的ISO映像生成SHA256校验和(假设ISO映像名为“ ka1i-linux-2020.3-live-amd64.iso”,并且位于当前目录):
$ shasum -a 256 ka1i-linux-2020.3-live-amd64.iso
输出应如下所示:
1a0b2ea83f48861dd3f3babd5a2892a14b30a7234c8c9b5013a6507d1401874f ka1i-linux-2020.3-live-amd64.iso
可以看到生成的SHA256签名“ 1a0b2ea83f48861dd3f3babd5a2892a14b30a7234c8c9b5013a6507d1401874f”与64位Intel体系结构ka1i Linux 2020.3 ISO映像的官方下载页面上的“ sha256sum”列中显示的签名匹配:
使用随附的签名文件验证ISO上的签名(Torrent下载)
如果通过torrent下载了ka1i Linux ISO映像的副本,除了ISO文件(例如,ka1i-linux-2020.3-live-amd64.iso)外,还会有第二个文件包含ISO的已计算SHA256签名。 ,扩展名为“ .txt.sha256sum”(例如ka1i-linux-2020.3-live-amd64.txt.sha256sum)。您可以使用此文件通过以下命令来验证您在Linux或macOS上下载的真实性:
$ grep ka1i-linux-2020.3-live-amd64.iso ka1i-linux-2020.3-live-amd64.txt.sha256sum | shasum -a 256 -c
如果镜像成功通过身份验证,则响应将如下所示:
ka1i-linux-2020.3-live-amd64.iso:
重要!如果您无法如前一节所述验证已下载的ka1i Linux映像的真实性,请不要使用它!使用它不仅可能危害您自己的系统,而且会危害您连接到的任何网络以及该网络上的其他系统。停止,并确保您已经从合法的ka1i Linux镜像下载了映像。
使用SHA256SUMS文件验证ISO
这是一个更复杂的过程,但是提供了更高级别的验证:它不依赖于您从中下载映像的网站的完整性,仅依赖于您独立安装的ka1i Linux开发团队官方密钥。要以这种方式针对ka1i的英特尔体系结构版本验证映像,您需要从ka1i“ Live CD Image”站点下载当前版本的三个文件(截至撰写本文时为v2020.3):
- ISO映像本身(例如,ka1i-linux-2020.3-live-amd64.iso)
- 包含为ISO SHA256SUMS计算的SHA256哈希的文件
- 该文件的签名版本SHA256SUMS.gpg
在验证映像的校验和之前,必须确保SHA256SUMS文件是ka1i生成的文件。这就是为什么文件由ka1i的官方密钥在SHA256SUMS.gpg中使用分离的签名进行签名的原因。如果您尚未这样做,则可以使用以下命令下载ka1i的官方密钥并将其导入您的密钥链:
$ wget -q -O - https://www.ka1i.org/archive-key.asc | gpg --import
或这个命令
$ gpg --keyserver hkp://keys.gnupg.net --recv-key 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
您的输出应如下所示:
gpg: key ED444FF07D8D0BF6: public key "ka1i Linux Repository <devel@ka1i.org>" imported gpg: Total number processed: 1 gpg: imported: 1 (RSA: 1)
您应该使用以下命令验证密钥是否正确安装:
$ gpg --fingerprint 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6
输出将如下所示:
pub rsa4096 2012-03-05 [SC] [expires: 2023-01-16] 44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6 uid [ full] ka1i Linux Repository <devel@ka1i.org> sub rsa4096 2012-03-05 [E] [expires: 2023-01-16]```
一旦下载了SHA256SUMS和SHA256SUMS.gpg,就可以按照以下方式验证签名:
$ gpg --verify SHA256SUMS.gpg SHA256SUMS gpg: Signature made Mon Sep 2 06:42:05 2019 EDT gpg: using RSA key 44C6513A8E4FB3D30875F758ED444FF07D8D0BF6 gpg: Good signature from "ka1i Linux Repository <devel@ka1i.org>" [full]
如果没有收到“ Good signature”消息,或者密钥ID不匹配,则应该停止并检查是否从合法的ka1i Linux镜像下载了镜像。失败的验证强烈暗示您所拥有的镜像可能已被篡改。
如果您确实获得了“正确签名Good signature”响应,则现在可以放心,SHA256SUMS文件中的校验和实际上是由ka1i Linux开发团队提供的。完成验证所需要做的所有工作就是验证从下载的ISO计算得出的摘要是否与SHA256SUMS文件中的摘要匹配。您可以使用以下命令在Linux或macOS上执行此操作(假设ISO名为“ ka1i-linux-2020.3-live-amd64.iso”并且在您的工作目录中):
$ grep ka1i-linux-2020.3-live-amd64.iso SHA256SUMS | shasum -a 256 -c
如果图像成功通过身份验证,则响应将如下所示:
ka1i-linux-2020.3-live-amd64.iso: OK
如果你没有得到 "OK "的回应,那就停下来回顾一下发生了什么:你所拥有的ka1i图像显然已经被篡改了。不要使用它。
下载并验证映像后,即可继续创建可启动的“ ka1i Linux Live” USB驱动器。