24Aug
في الشهر الماضي، تم اختراق موقع لينكس مينت، ووضعت إسو معدلة للتحميل التي شملت مستتر.في حين تم إصلاح المشكلة بسرعة، فإنه يدل على أهمية التحقق من ملفات إسو لينكس تحميل قبل تشغيل وتثبيتها.إليك الطريقة.
توزيعات لينكس نشر الاختبارية حتى تتمكن من التأكد من الملفات التي تقوم بتحميل هي ما يدعون أن يكون، وهذه غالبا ما وقعت حتى تتمكن من التحقق من الاختبارية أنفسهم لم يتم العبث بها.هذا مفيد بشكل خاص إذا قمت بتحميل إسو من مكان آخر غير الموقع الرئيسي مثل مرآة طرف ثالث، أو من خلال بيتورنت، حيث أنه من الأسهل بكثير على الناس للعبث الملفات.
كيفية عمل هذه العملية
عملية تدقيق إسو معقدة بعض الشيء، لذلك قبل أن ندخل في الخطوات الدقيقة، دعونا نوضح بالضبط ما تستلزمه العملية:
- سوف تقوم بتحميل ملف لينوكس إسو من موقع لينوكس للتوزيع - أوفي مكان آخر كالمعتاد.
- سوف تقوم بتحميل المجموع الاختباري وتوقيعه الرقمي من موقع توزيع لينكس.قد يكون هذا ملفين تكست منفصلين، أو قد تحصل على ملف تكست واحد يحتوي على كل من البيانات.
- ستحصل على مفتاح بب عام ينتمي إلى توزيع لينكس.يمكنك الحصول على هذا من موقع التوزيع لينكس أو خادم رئيسي منفصل يديره نفس الأشخاص، اعتمادا على توزيع لينكس الخاص بك.
- ستستخدم مفتاح بب للتحقق من أن التوقيع الرقمي للمجموع الاختباري تم إنشاؤه من قبل الشخص نفسه الذي جعل المفتاح - في هذه الحالة، المشرفين على توزيع لينكس هذا.وهذا يؤكد أن المجموع الاختباري نفسه لم يتم التلاعب به.
- سيتم إنشاء المجموع الاختباري لملف إسو الذي تم تنزيله، والتحقق من أنه يتطابق مع ملف تكست الاختباري الذي قمت بتنزيله.وهذا يؤكد أن ملف إسو لم يتم العبث به أو تلفه.
قد تختلف العملية قليلا عن إسو مختلفة، ولكنها عادة ما تتبع هذا النمط العام.على سبيل المثال، هناك عدة أنواع مختلفة من الاختبارية.تقليديا، كانت MD5 المبالغ الأكثر شعبية.ومع ذلك، يتم استخدام مبالغ شا-256 الآن بشكل أكثر تواترا من خلال توزيعات لينكس الحديثة، كما شا-256 هو أكثر مقاومة للهجمات النظرية.سنقوم في المقام الأول بمناقشة المبالغ شا-256 هنا، على الرغم من أن عملية مماثلة ستعمل لمبالغ MD5.بعض ديستروس لينكس قد توفر أيضا شا-1 مبالغ، على الرغم من أن هذه هي أقل شيوعا.
وبالمثل، بعض ديستروز لا توقع الاختبارية مع بب.ستحتاج فقط إلى تنفيذ الخطوات 1 و 2 و 5، ولكن العملية أكثر عرضة للخطر.بعد كل شيء، إذا كان المهاجم يمكن أن تحل محل ملف إسو للتحميل أنها يمكن أن تحل محل المجموع الاختباري أيضا.
استخدام بب هو أكثر أمانا، ولكن لا مضمونة.المهاجم لا يزال يمكن أن تحل محل هذا المفتاح العام مع خاصة بهم، فإنها لا تزال خداع لكم في التفكير إسو شرعي.ومع ذلك، إذا تم استضافة المفتاح العمومي على خادم مختلف - كما هو الحال مع لينكس مينت - وهذا يصبح أقل احتمالا بكثير( لأنهم قد تضطر إلى الإختراق خادومين بدلا من واحد فقط).ولكن إذا تم تخزين المفتاح العمومي على نفس الخادم مثل إسو والمجموع الاختباري، كما هو الحال مع بعض ديستروز، فإنه لا يوفر الكثير من الأمن.
ومع ذلك، إذا كنت تحاول التحقق من توقيع بب على ملف المجموع الاختباري ثم التحقق من صحة التحميل الخاص بك مع المجموع الاختباري، وهذا كل ما يمكن أن تفعله بشكل معقول كمستخدم نهائي تحميل إسو لينكس.كنت لا تزال أكثر أمنا من الناس الذين لا تهتم.
كيفية التحقق من المجموع الاختباري على لينكس
سنستخدم لينوكس مينت كمثال هنا، ولكن قد تحتاج إلى البحث في موقع ويب لينوكس للتوزيع للعثور على خيارات التحقق التي يقدمها.بالنسبة لينكس مينت، يتم توفير ملفين جنبا إلى جنب مع تحميل إسو على المرايا التحميل.تحميل إسو، ومن ثم تحميل ملفات "sha256sum.txt" و "sha256sum.txt.gpg" إلى جهاز الكمبيوتر الخاص بك.انقر بزر الماوس الأيمن على الملفات وحدد "حفظ الرابط باسم" لتنزيلها.
على سطح مكتب لينوكس الخاص بك، افتح نافذة طرفية وقم بتنزيل مفتاح بب.في هذه الحالة، يتم استضافة مفتاح بب لينوكس مينت على الخادم الرئيسي أوبونتو، ويجب علينا تشغيل الأمر التالي للحصول عليه.
غ --keyserver هكب: //keyserver.ubuntu.com --recv-كيس 0FF405B2سوف يقوم موقع لينوكس ديسترو الخاص بك بتوجيهك نحو المفتاح الذي تحتاج إليه.
لدينا الآن كل ما نحتاجه: إسو، ملف المجموع الاختباري، ملف التوقيع الرقمي المجموع الاختباري، ومفتاح بب.بعد ذلك، انتقل إلى المجلد الذي تم تنزيله إلى. ..
سد ~ / دونلوادس. .. وقم بتشغيل الأمر التالي للتحقق من توقيع ملف المجموع الاختباري:
غو --verify sha256sum.txt.gpg sha256sum.txtإذا كان الأمر غ يتيح لك معرفة أن الملف sha256sum.txt الذي تم تنزيله يحتوي على "توقيع جيد"، يمكنك المتابعة.في السطر الرابع من الصورة أدناه، غ يعلمنا أن هذا هو "توقيع جيد" يدعي أن ترتبط مع كليمنت ليفبفر، لينكس مينت الخالق.
لا تقلق من أن المفتاح غير معتمد مع "توقيع موثوق به". ويرجع ذلك إلى الطريقة التي يعمل بها تشفير بب - لم تقم بإعداد شبكة ثقة من خلال استيراد المفاتيح من الأشخاص الموثوق بهم.سيكون هذا الخطأ شائعا جدا.
أخيرا، الآن بعد أن نعرف أن المجموع الاختباري تم إنشاؤه من قبل المشرفين لينكس مينت، قم بتشغيل الأمر التالي لإنشاء المجموع الاختباري من ملف. iso الذي تم تنزيله ومقارنته بملف تكست الاختباري الذي قمت بتنزيله:
sha256sum --check sha256sum.txtسترى الكثير من رسائل "لا يوجد ملف أو دليل" إذا قمت بتنزيل ملف إسو واحد فقط، ولكن يجب أن تشاهد رسالة "موافق" للملف الذي قمت بتنزيله إذا كان يطابق المجموع الاختباري.
يمكنك أيضا تشغيل أوامر المجموع الاختباري مباشرة على ملف. iso.انها سوف تفحص الملف. iso وتبصقون المجموع الاختباري لها.يمكنك ثم تحقق فقط يطابق المجموع الاختباري صالح من خلال النظر في كل من عينيك.
على سبيل المثال، للحصول على مجموعة شا-256 من ملف إسو:
sha256sum /path/to/ file.isoأو إذا كان لديك قيمة md5sum وتحتاج إلى الحصول على md5sum ملف:
md5sum ملف /path/to/.Asمقارنةنتيجة مع ملف تكست الاختباري لمعرفة ما إذا كانت مطابقة.
كيفية التحقق من المجموع الاختباري في ويندوز
إذا كنت تقوم بتنزيل لينوكس إسو من جهاز ويندوز، يمكنك أيضا التحقق من المجموع الاختباري هناك، على الرغم من أن ويندوز لا يحتوي على البرامج الضرورية المضمنة.لذلك، سوف تحتاج إلى تحميل وتثبيت أداة مفتوحة المصدر GG4win.
حدد موقع ملفات لينكس ديسترو الخاصة بتوقيع الملف الرئيسي والمجموع الاختباري.سنستخدم فيدورا كمثال هنا.يوفر موقع فيدورا التنزيلات المجموع الاختباري ويخبرنا أننا يمكن تحميل مفتاح التوقيع فيدورا من هتبس: //getfedora.org/static/ fedora.gpg.
بعد تنزيل هذه الملفات، سوف تحتاج إلى تثبيت مفتاح التوقيع باستخدام برنامج كليوباترا المضمنة مع Gpg4win.إطلاق كليوباترا، وانقر فوق ملف & غ؛شهادات الاستيراد.حدد ملف. gpg الذي قمت بتنزيله.
يمكنك الآن التحقق مما إذا كان ملف المجموع الاختباري الذي تم تنزيله قد تم توقيعه باستخدام أحد الملفات الرئيسية التي قمت باستيرادها.لإجراء ذلك، انقر على ملف & غ؛فك تشفير / التحقق من الملفات.حدد ملف المجموع الاختباري الذي تم تنزيله.قم بإلغاء تحديد الخيار "ملف الإدخال هو توقيع منفصل" ثم انقر فوق "فك تشفير / تحقق".
أنت متأكد من رؤية رسالة خطأ إذا قمت بذلك بهذه الطريقة، لأنك لم تواجه مشكلة التأكد من تلك فيدوراالشهادات هي في الواقع مشروعة.هذه مهمة أكثر صعوبة.هذه هي الطريقة التي تم تصميم بب للعمل - تلتقي وتبادل المفاتيح في شخص، على سبيل المثال، وقطع معا شبكة من الثقة.معظم الناس لا يستخدمون بهذه الطريقة.
ومع ذلك، يمكنك عرض مزيد من التفاصيل وتأكيد أنه تم توقيع ملف المجموع الاختباري مع أحد المفاتيح التي قمت باستيرادها.هذا هو أفضل بكثير من مجرد الثقة ملف إسو تحميلها دون التحقق، على أي حال.
يجب أن تكون قادرا الآن على تحديد ملف & غ؛التحقق من الملفات الاختبارية وتأكيد المعلومات في ملف المجموع الاختباري يطابق الملف. iso الذي تم تنزيله.ومع ذلك، فإن هذا لا يعمل بالنسبة لنا، ربما انها مجرد طريقة ملف الاختباري فيدورا وضعت.عندما حاولنا هذا مع ملف sh256sum.txt لينكس مينت، فعلت العمل.
إذا كان هذا لا يعمل لتوزيع لينكس الخاص بك من خيار، وهنا الحل.أولا، انقر على إعدادات & غ؛تكوين كليوباترا.حدد "عمليات التشفير"، حدد "عمليات الملفات"، وتعيين كليوباترا لاستخدام برنامج "الاختباري sha256sum"، وهذا ما تم إنشاء هذا المجموع الاختباري معين مع.إذا كان لديك اختباري MD5، حدد "md5sum" في القائمة هنا.
الآن، انقر فوق ملف & غ؛إنشاء الملفات الاختبارية وحدد ملف إسو الذي تم تنزيله.سوف كليوباترا توليد المجموع الاختباري من ملف. iso تحميلها وحفظه إلى ملف جديد.
يمكنك فتح كل من هذه الملفات - الملف الاختباري الذي تم تنزيله والملف الذي قمت بإنشائه للتو - في محرر نص مثل المفكرة.تأكيد المجموع الاختباري متطابقة في كل من مع عينيك.إذا كانت متطابقة، فقد تأكدت من أنه لم يتم العبث بملف إسو الذي تم تنزيله.
لم تكن طرق التحقق هذه مخصصة أصلا للحماية من البرامج الضارة.تم تصميمها للتأكد من أن ملف إسو الخاص بك تحميلها بشكل صحيح ولم يكن معطوبا أثناء التحميل، لذلك هل يمكن حرق واستخدامه دون الحاجة إلى القلق.انهم ليسوا حل مضمونة تماما، كما كان لديك للثقة مفتاح بب يمكنك تحميل.ومع ذلك، فإن هذا لا يزال يوفر ضمان أكثر بكثير من مجرد استخدام ملف إسو دون التحقق من ذلك على الإطلاق.
الصورة الائتمان: إدواردو كواغلياتو على فليكر