2.2 Notes générales à propos de l'installation
2.2.2 Vérifier l'intégrité des paquets avec MD5 ou GnuPG
Une fois que vous avez téléchargé le paquet MySQL qui vous convient, et avant de l'installer, vous devriez vous assrurer qu'il est intact, et n'a pas été altéré.
MySQL AB propose deux moyens de vérifier l'intégrité : les sommes de contrôles MD5
et les signatures de GnuPG
, de GNU Privacy Guard
.
Verifying the MD5 Checksum
Une fois que vous avez téléchargé le paquet, vous devez vérifier si la somme de contrôle MD5 correspond à celle qui est disponibles sur le site de MySQL. Chaque package a une somme de contrôle individuelle, que vous pouez obtenir avec la commande suivante :
shell> md5sum <package>
Notez que tous les systèmes d'exploitation ne supportent pas la commande md5sum
: sur certains, elle s'appelle simplement md5
, sur d'autre, elle n'est pas du tout disponible. Sur Linux, ella fait partie des
utilitaires textes GNU (GNU Text Utilities)
, qui sont disponbiles pour toute une gamme de plate−formes. Vous pouvez télécharger le code source sur le site http://www.gnu.org/software/textutils/ . Si vous avez installé OpenSSL
, vous pouvez utiliser la commande openssl md5 <package>
à la place. Une
implémentation DOS/Windows de la commande md5
est disponible sur le site http://www.fourmilab.ch/md5/ .Exemple :
shell> md5sum mysql−standard−4.0.10−gamma−pc−linux−i686.tar.gz 155836a7ed8c93aee6728a827a6aa153
mysql−standard−4.0.10−gamma−pc−linux−i686.tar.gz
Ainsi, vous devez vérifier si la somme de contrôle résultante correspond à cette qui est imprimée sur la page de téléchargement, en dessous du paquet téléchargé.La plupart des sites miroirs proposent aussi un fichier appelé MD5SUMS
, qui inclut les sommes de contrôle MD5 pour tous les fichiers disponibles dans le dossier Downloads
. Notez bien qu'il est très facile de modifier ce fichier, et que ce n'est pas une méthode sécuritaire. Dans le doute, consultez différents mirroirs, et comparez les résultats.
Vérification de la signature avec GnuPG
Une méthode plus sûre pour vérifier l'intégrité d'un paquet est d'utiliser la signature. MySQL AB utilise GNU Privacy Guard
( GnuPG
), une alternative Open Source
du très connu Pretty Good Privacy
( PGP
) par Phil Zimmermann. Voir http://www.gnupg.org/ et http://www.openpgp.org/ pour plus d'informations sur OpenPGP
/ GnuPG
et comment obtenir et installer GnuPG
sur votre système. La plupart des distributions Linux dispose d'une version de GnuPG
installée par défaut.
Depuis MySQL 4.0.10 (Février 2003), MySQL AB signe les paquets en téléchargement avec GnuPG
. Les signateurs chifféres représentent une méthode bien plus sûre pour vérifier l'intégrité et
l'authenticitié d'un fichier.
Pour vérifier la signature d'un paquet spécifique, vous devez obtenir en premier lieu une copie de la clé publique GPG build@mysql.com . Vous pouvez soit la copier−coller directement depuis ce manuel, ou la réclamer sur le serveur http://www.keyserver.net/ .
Key ID:
pub 1024D/5072E1F5 2003−02−03
MySQL Package signing key (www.mysql.com) <build@mysql.com> Fingerprint: A4A9 4068 76FC BD3C 4567 70C8 8C71 8D3B 5072 E1F5 Public Key (ASCII−armored):
−−−−−BEGIN PGP PUBLIC KEY BLOCK−−−−− Version: GnuPG v1.0.6 (GNU/Linux) Comment: For info see http://www.gnupg.org
mQGiBD4+owwRBAC14GIfUfCyEDSIePvEW3SAFUdJBtoQHH/nJKZyQT7h9bPlUWC3 RODjQReyCITRrdwyrKUGku2FmeVGwn2u2WmDMNABLnpprWPkBdCk96+OmSLN9brZ fw2vOUgCmYv2hW0hyDHuvYlQA/BThQoADgj8AW6/0Lo7V1W9/8VuHP0gQwCgvzV3 BqOxRznNCRCRxAuAuVztHRcEAJooQK1+iSiunZMYD1WufeXfshc57S/+yeJkegNW hxwR9pRWVArNYJdDRT+rf2RUe3vpquKNQU/hnEIUHJRQqYHo8gTxvxXNQc7fJYLV K2HtkrPbP72vwsEKMYhhr0eKCbtLGfls9krjJ6sBgACyP/Vb7hiPwxh6rDZ7ITnE kYpXBACmWpP8NJTkamEnPCia2ZoOHODANwpUkP43I7jsDmgtobZX9qnrAXw+uNDI QJEXM6FSbi0LLtZciNlYsafwAPEOMDKpMqAK6IyisNtPvaLd8lH0bPAnWqcyefep rv0sxxqUEMcM3o7wwgfN83POkDasDbs3pjwPhxvhz6//62zQJ7Q7TXlTUUwgUGFj a2FnZSBzaWduaW5nIGtleSAod3d3Lm15c3FsLmNvbSkgPGJ1aWxkQG15c3FsLmNv bT6IXQQTEQIAHQUCPj6jDAUJCWYBgAULBwoDBAMVAwIDFgIBAheAAAoJEIxxjTtQ cuH1cY4AnilUwTXn8MatQOiG0a/bPxrvK/gCAJ4oinSNZRYTnblChwFaazt7PF3q zIhMBBMRAgAMBQI+PqPRBYMJZgC7AAoJEElQ4SqycpHyJOEAn1mxHijft00bKXvu cSo/pECUmppiAJ41M9MRVj5VcdH/KN/KjRtW6tHFPYhMBBMRAgAMBQI+QoIDBYMJ YiKJAAoJELb1zU3GuiQ/lpEAoIhpp6BozKI8p6eaabzF5MlJH58pAKCu/ROofK8J Eg2aLos+5zEYrB/LsrkCDQQ+PqMdEAgA7+GJfxbMdY4wslPnjH9rF4N2qfWsEN/l xaZoJYc3a6M02WCnHl6ahT2/tBK2w1QI4YFteR47gCvtgb6O1JHffOo2HfLmRDRi Rjd1DTCHqeyX7CHhcghj/dNRlW2Z0l5QFEcmV9U0Vhp3aFfWC4Ujfs3LU+hkAWzE 7zaD5cH9J7yv/6xuZVw411x0h4UqsTcWMu0iM1BzELqX1DY7LwoPEb/O9Rkbf4fm Le11EzIaCa4PqARXQZc4dhSinMt6K3X4BrRsKTfozBu74F47D8Ilbf5vSYHbuE5p /1oIDznkg/p8kW+3FxuWrycciqFTcNz215yyX39LXFnlLzKUb/F5GwADBQf+Lwqq a8CGrRfsOAJxim63CHfty5mUc5rUSnTslGYEIOCR1BeQauyPZbPDsDD9MZ1ZaSaf anFvwFG6Llx9xkU7tzq+vKLoWkm4u5xf3vn55VjnSd1aQ9eQnUcXiL4cnBGoTbOW I39EcyzgslzBdC++MPjcQTcA7p6JUVsP6oAB3FQWg54tuUo0Ec8bsM8b3Ev42Lmu QT5NdKHGwHsXTPtl0klk4bQk4OajHsiy1BMahpT27jWjJlMiJc+IWJ0mghkKHt92 6s/ymfdf5HkdQ1cyvsz5tryVI3Fx78XeSYfQvuuwqp2H139pXGEkg0n6KdUOetdZ Whe70YGNPw1yjWJT1IhMBBgRAgAMBQI+PqMdBQkJZgGAAAoJEIxxjTtQcuH17p4A n3r1QpVC9yhnW2cSAjq+kr72GX0eAJ4295kl6NxYEuFApmr1+0uUq/SlsQ== =YJkx
−−−−−END PGP PUBLIC KEY BLOCK−−−−−
Vous pouvez importer cette clé dans votre trousseau de clé publiques GPG
avec la commande gpg −−import
. Voyez la documnetation GPG
pour plus de détails sur comment travailler avec les clés publiques.
Une fois que vous avez téléchargé et importé la clé publique, vous pouvez télécharger le paquet MySQL et la signature qui lui est associée, sur la même page. Le fichier de signature a pour extension .asc
. Par exemple, la signature pour le fichier mysql−standard−4.0.10−gamma−pc−linux−i686.tar.gz
serait
mysql−standard−4.0.10−gamma−pc−linux−i686.tar.gz.asc
. Assurez vous que les deux fichiers sont stockés dans le même dossier, puis exécutez la commande suivante pour vérifier la signature du fichier :
shell> gpg −−verify <package>.asc Example:
shell> gpg −−verify mysql−standard−4.0.10−gamma−pc−linux−i686.tar.gz.asc gpg: Warning: using insecure memory!
gpg: Signature made Mon 03 Feb 2003 08:50:39 PM MET using DSA key ID 5072E1F5 gpg: Good signature from
"MySQL Package signing key (www.mysql.com) <build@mysql.com>"
La mention "Good signature" (bonne signature) indique que le paquet est correct. Pour les paquets RPM
, il n'y a pas de signature séparée : les paquets RPM
disposent d'une signature GPG
intégrée, et d'une somme de contrôle MD5
. Vous pouvez les vérifier avec la commande suivante :
shell> rpm −−checksig <package>.rpm Example:
shell> rpm −−checksig MySQL−server−4.0.10−0.i386.rpm MySQL−server−4.0.10−0.i386.rpm: md5 gpg OK
Note : Si vous utilisez RPM 4.1 et qu'il se plaint que (GPG) NOT OK (MISSING KEYS: GPG#5072e1f5)
(même si vous l'avez importé dans votre trousseau de clé), vous devez alors importer la clé dans votre trousseau RPM d'abord. RPM 4.1 n'utilise pas votre trousseau de clé GPG (ni GPG lui−même), car il
entretient son propre trousseau de clé (car c'est une application de niveau système, et que le trousseau de clé est spécifique à chaque utilisateur). Pour importer la clé publique MySQL dans votre trousseau de clé RPM, utilisez la commande suivante :
shell> rpm −−import <pubkey> Example:
shell> rpm −−import mysql_pubkey.asc
Dans le cas où vous vous apercevez que la somme de contrôle MD5 checksum
ou la signature GPG
ne correspond pas, essayez de télécharger à nouveau le même paquet, éventuellement depuis un autre miroir. Si vous échouez plusieurs fois à vérifier l'intégrité du paquet, faites nous part de votre problème, en incluant le nom complet du paquet désiré, et les sites de téléchargement que vous avez utilisé. Mailez nous à l'adresse webmaster@mysql.com ou build@mysql.com .