24Aug
Minulý měsíc byla webová stránka Linux Mint napadena a upravená verze ISO byla připravena ke stažení, která obsahovala zadní vchod. Zatímco byl problém rychle opraven, ukazuje, že je důležité kontrolovat stažené soubory systému Linux, které si stáhnete před spuštěním a instalací.Zde je návod. Distribuce
Linux publikuje kontrolní součty, takže můžete potvrdit, že stažené soubory jsou tím, čím tvrdí, že jsou, a tyto jsou často podepsány, takže můžete ověřit, zda kontrolní součty sami nebyly poškozeny. To je obzvláště užitečné, pokud si stáhnete ISO někde jinde než v hlavním zrcadle třetí strany, nebo v BItTorrentu, kde je pro lidi mnohem jednodušší manipulace se soubory.
Jak tento proces funguje
Proces kontroly ISO je trochu složitý, takže než se dostaneme do přesných kroků, vysvětlíme přesně, co proces znamená:
- Stáhněte soubor Linux ISO z webových stránek distribuce Linuxu neboněkde jinde - jako obvykle.
- Stáhněte si kontrolní součet a jeho digitální podpis z webové stránky distribuce Linuxu. Mohou to být dva samostatné soubory TXT, nebo můžete získat jeden soubor TXT, který obsahuje oba data.
- Získáte veřejné klíč PGP patřící do distribuce Linuxu. Můžete to získat z webových stránek distribuce Linuxu nebo odděleného klíčového serveru spravovaného stejnými lidmi, v závislosti na distribuci Linuxu.
- Klíč PGP použijete k ověření, že digitální podpis kontrolního součtu byl vytvořen stejnou osobou, která v tomto případě provedla klíč, správci této distribuce systému Linux. To potvrzuje, že samotný kontrolní součet nebyl narušen.
- Vygenerujete kontrolní součet staženého souboru ISO a ověříte, zda odpovídá kontrolnímu součtu souboru TXT, který jste stáhli. To potvrzuje, že soubor ISO nebyl poškozen nebo poškozen.
Proces se může u různých ISO lišit, ale obvykle se jedná o obecný vzorec. Existuje například několik různých typů kontrolních součtů.Tradiční částky MD5 jsou nejoblíbenější.Nicméně SHA-256 součty jsou nyní častěji využívány moderními distribucemi Linuxu, protože SHA-256 je odolnější vůči teoretickým útokům. Především budeme hovořit o částkách SHA-256, ačkoli podobný proces bude pracovat na částkách MD5.Některé distribuce systému Linux mohou také poskytovat součty SHA-1, ačkoli tyto jsou ještě méně běžné.
Podobně některé distribuce nepodpisují své kontrolní součty s PGP.Budete muset provést pouze kroky 1, 2 a 5, ale proces je mnohem zranitelnější.Koneckonců, pokud útočník může nahradit soubor ISO ke stažení, může také nahradit kontrolní součet.
Používání PGP je mnohem bezpečnější, ale není spolehlivé.Útočník by mohl stále tento veřejný klíč nahradit svým vlastním, mohli by vás stále podvádět, abyste si mysleli, že ISO je legitimní.Nicméně, pokud je veřejný klíč hostován na jiném serveru - jak tomu je u Linux Mint - je to mnohem méně pravděpodobné( protože by museli hackovat dva servery místo jednoho).Ale pokud je veřejný klíč uložen na stejném serveru jako ISO a kontrolní součet, jako u některých distribucí, nenabízí tolik zabezpečení.
Pokud se ale pokoušíte ověřit podpis PGP v souboru kontrolního součtu a ověřit stahování pomocí tohoto kontrolního součtu, je to vše, co můžete rozumně udělat jako koncový uživatel, který si stáhne linuxový ISO.Jsi ještě mnohem bezpečnější než lidé, kteří se neobtěžují.
Jak ověřit kontrolní součet na Linuxu
Jako příklad použijeme linuxovou mincovnu, ale možná budete muset prohledat webové stránky distribuce systému Linux, abyste našli možnosti ověření, které nabízí.Pro linuxovou mincovnu jsou společně se stahováním ISO ve svých zrcadlech stahovány dva soubory. Stáhněte soubor ISO a poté stáhněte soubory "sha256sum.txt" a "sha256sum.txt.gpg" do počítače. Klepněte pravým tlačítkem myši na soubory a vyberte "Uložit odkaz jako" pro jejich stažení.
Na pracovní ploše Linuxu otevřete okno terminálu a stáhněte klíč PGP.V tomto případě je klíč MGP PGP hostován na klíčovém serveru Ubuntu a musíme jej spustit následující příkaz.
gpg - keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Webová stránka vašeho distribučního systému Linux vás nasměruje směrem k požadovanému klíči.
Nyní máme vše, co potřebujeme: ISO, soubor kontrolního součtu, soubor digitálního podpisu kontrolního součtu a klíč PGP.Takže další, změňte složku, ve které byly staženy. ..
cd ~ / Ke stažení. .. a spusťte následující příkaz pro kontrolu podpisu souboru kontrolního součtu:
gpg - verify sha256sum.txt.gpg sha256sum.txtPokud příkaz GPG umožňuje zjistit, že stažený soubor sha256sum.txt má "dobrý podpis", můžete pokračovat. Ve čtvrtém řádku obrazovky níže nám GPG informuje, že je to "dobrý podpis", který tvrdí, že je spojen s tvůrcem Clementa Lefebvra, Linuxu.
Nebojte se, že klíč není certifikován s "důvěryhodným podpisem". Je to proto, že funguje šifrování PGP - nenastavili jste důvěryhodnou síť importováním klíčů od důvěryhodných lidí.Tato chyba bude velmi častá.
Konečně, když víme, že kontrolní součet byl vytvořen správci systému Linux Mint, spusťte následující příkaz pro generování kontrolního součtu ze staženého souboru. iso a porovnejte ho s kontrolním součtem souboru TXT, který jste stáhli:
sha256sum - check sha256sum.txtPokud jste stahovali pouze jeden soubor ISO, uvidíte spoustu zpráv "žádný takový soubor nebo adresář", ale u souboru, který jste si stáhli, by se měla zobrazit zpráva "OK", pokud se shoduje s kontrolním součtem.
Příkazy kontrolního součtu můžete také spustit přímo v souboru. iso. Bude zkoumat soubor. iso a vyplienit jeho kontrolní součet. Pak můžete jen zkontrolovat, zda odpovídá platnému kontrolnímu součtu tím, že se díváte jak na oči.
Například získat SHA-256 součet souboru ISO:
sha256sum /path/to/ file.isoNebo pokud máte hodnotu md5sum a potřebujete získat md5sum souboru:
md5sum /path/to/ file.isoPorovnejtevýsledek s kontrolním součtem souboru TXT, aby zjistil, zda odpovídají.
Jak ověřit kontrolní součet v systémech Windows
Pokud stahujete linuxovou ISO z počítače se systémem Windows, můžete ověřit také kontrolní součet - i když systém Windows nemá potřebný software. Takže budete muset stáhnout a nainstalovat nástroj Gpg4win s otevřeným zdrojovým kódem.
Vyhledejte soubor s podpisovým klíči a soubory kontrolního součtu distribučního systému Linux. Jako příklad použijeme Fedoru. Webová stránka společnosti Fedora poskytuje stahování kontrolního součtu a říká, že si můžeme stáhnout podepisující klíč Fedora z adresy https: //getfedora.org/static/ fedora.gpg.
Po stažení těchto souborů je nutné nainstalovat podpisový klíč pomocí programu Kleopatra dodávaného s Gpg4win. Spusťte Kleopatru a klikněte na Soubor & gt;Importovat certifikáty. Zvolte stažený soubor. gpg.
Nyní můžete zkontrolovat, zda byl soubor s kontrolním součtem stažen s jedním z klíčových souborů, které jste importovali. Chcete-li to provést, klepněte na položku Soubor & gt;Dešifrovat / ověřit soubory. Vyberte soubor staženého kontrolního součtu. Zrušte zaškrtnutí volby "Vstupní soubor je odpojený podpis" a klikněte na tlačítko "Dešifrovat / Ověřit".
Jste si jisti, že se zobrazí chybová zpráva, pokud tak učiníte, protože jste neproběhla potíže s potvrzením těchto Fedoracertifikáty jsou skutečně oprávněné.To je těžší úkol. Tímto způsobem je PGP navržena tak, aby pracovala - například se setkáváte a vyměňujte klíče osobně, například a sestavíte web důvěry. Většina lidí ji tímto způsobem nepoužívá.
Můžete však zobrazit další podrobnosti a potvrdit, že soubor kontrolního součtu byl podepsán pomocí jednoho importovaného klíče. To je mnohem lepší, než důvěřovat stažený soubor ISO bez kontroly, tak jako tak.
Nyní byste měli mít možnost vybrat Soubor & gt;Ověřte soubory kontrolního součtu a potvrďte, že informace v souboru kontrolního součtu odpovídají staženému souboru. iso. Nicméně to pro nás nefungovalo - možná je to jen způsob, jakým je soubor Fedory sestaven. Když jsme to zkusili se souborem sha256sum.txt Linux Mint, fungovalo to.
Pokud to nefunguje pro distribuci Linuxu, kterou si vyberete, je zde řešení.Nejprve klikněte na Nastavení & gt;Nakonfigurujte Kleopatru. Zvolte "Crypto Operations", zvolte "File Operations" a nastavte Kleopatru, abyste použili program kontrolního součtu "sha256sum", protože právě s tímto kontrolním součtem byl generován. Pokud máte kontrolní součet MD5, v seznamu zde vyberte "md5sum".
Nyní klikněte na Soubor & gt;Vytvořte soubory kontrolního součtu a vyberte stažený soubor ISO.Kleopatra vytvoří kontrolní součet ze staženého souboru. iso a uloží jej do nového souboru.
Můžete otevřít oba tyto soubory - stažený soubor kontrolního součtu a právě vygenerovaný soubor - v textovém editoru, jako je program Poznámkový blok. Potvrďte, že kontrolní součet je stejný jako u vašich očí.Pokud je totožná, potvrdili jste, že váš stažený soubor ISO nebyl poškozen.
Tyto ověřovací metody nebyly původně určeny k ochraně před malwarem. Byly navrženy tak, aby potvrdily, že váš soubor ISO byl správně stažen a během stahování nebyl poškozen, takže ho můžete vypálit a používat bez obav. Nejsou to naprosto špatné řešení, protože musíte věřit, že jste stáhli klíč PGP.To však stále poskytuje mnohem větší jistotu, než jen použití souboru ISO, aniž byste jej vůbec ověřili. Obrázek
: Eduardo Quagliato na Flickr