24Aug
Τον περασμένο μήνα, ο ιστότοπος του Linux Mint χτυπήθηκε και τροποποιήθηκε το ISO για λήψη που περιλάμβανε backdoor.Ενώ το πρόβλημα επιδιορθώθηκε γρήγορα, καταδεικνύει τη σημασία του ελέγχου των αρχείων ISO του Linux που κατεβάζετε πριν από την εκτέλεση και την εγκατάστασή τους.Δείτε πώς.Οι διανομές
του Linux δημοσιεύουν checksums ώστε να μπορείτε να επιβεβαιώσετε ότι τα αρχεία που κατεβάζετε είναι αυτά που ισχυρίζονται ότι είναι και αυτά συχνά υπογράφονται ώστε να μπορείτε να επαληθεύσετε ότι τα ίδια τα checksum δεν έχουν αλλοιωθεί.Αυτό είναι ιδιαίτερα χρήσιμο εάν κάνετε λήψη ενός ISO από κάπου άλλο εκτός από τον κύριο ιστότοπο, όπως έναν τρίτο καθρέφτη ή μέσω του BItTorrent, όπου είναι πολύ πιο εύκολο για τους ανθρώπους να παραβιάζουν αρχεία.
Πώς λειτουργεί αυτή η διαδικασία
Η διαδικασία ελέγχου ενός ISO είναι λίγο περίπλοκη, οπότε προτού μπορέσουμε να βρούμε τα ακριβή βήματα, ας εξηγήσουμε ακριβώς τι συνεπάγεται η διαδικασία:
- Θα κατεβάσετε το αρχείο ISO Linux από την ιστοσελίδα της διανομής του Linux ήκάπου αλλού-ως συνήθως.
- Θα κατεβάσετε ένα άθροισμα ελέγχου και την ψηφιακή υπογραφή του από την τοποθεσία διανομής του Linux.Αυτά μπορεί να είναι δύο χωριστά αρχεία TXT ή μπορεί να έχετε ένα μόνο αρχείο TXT που περιέχει και τα δύο κομμάτια των δεδομένων.
- Θα έχετε ένα δημόσιο κλειδί PGP που ανήκει στη διανομή Linux.Μπορείτε να το λάβετε από την τοποθεσία διανομής του Linux ή από έναν ξεχωριστό κεντρικό διακομιστή που διαχειρίζεται το ίδιο άτομο, ανάλογα με τη διανομή του Linux.
- Θα χρησιμοποιήσετε το κλειδί PGP για να βεβαιωθείτε ότι η ψηφιακή υπογραφή του αθροίσματος ελέγχου δημιουργήθηκε από το ίδιο άτομο που έκανε το κλειδί στην περίπτωση αυτή, τους διαχειριστές αυτής της διανομής Linux.Αυτό επιβεβαιώνει ότι το ίδιο το checkum δεν έχει αλλοιωθεί.
- Θα δημιουργήσετε το άθροισμα ελέγχου του ληφθέντος αρχείου ISO και θα επαληθεύσετε ότι ταιριάζει με το αρχείο TXT του checksum που κατεβάσατε.Αυτό επιβεβαιώνει ότι το αρχείο ISO δεν έχει αλλοιωθεί ή έχει αλλοιωθεί.
Η διαδικασία μπορεί να διαφέρει λίγο για διαφορετικά ISO, αλλά συνήθως ακολουθεί αυτό το γενικό πρότυπο.Για παράδειγμα, υπάρχουν διάφοροι τύποι αθροίσματος ελέγχου.Παραδοσιακά, τα ποσά MD5 ήταν τα πιο δημοφιλή.Ωστόσο, τα SHA-256 ποσά χρησιμοποιούνται πλέον συχνότερα από τις σύγχρονες διανομές Linux, καθώς το SHA-256 είναι πιο ανθεκτικό στις θεωρητικές επιθέσεις.Αρχικά θα συζητήσουμε τα SHA-256 ποσά εδώ, παρόλο που μια παρόμοια διαδικασία θα λειτουργήσει για τα ποσά MD5.Ορισμένες διανομές Linux μπορεί επίσης να παρέχουν ποσά SHA-1, αν και αυτά είναι ακόμη λιγότερο κοινά.
Ομοίως, μερικές διανομές δεν υπογράφουν τα checksum τους με PGP.Θα χρειαστεί μόνο να εκτελέσετε τα βήματα 1, 2 και 5, αλλά η διαδικασία είναι πολύ πιο ευάλωτη.Μετά από όλα, αν ο εισβολέας μπορεί να αντικαταστήσει το αρχείο ISO για λήψη, μπορεί επίσης να αντικαταστήσει το άθροισμα ελέγχου.
Η χρήση του PGP είναι πολύ πιο ασφαλής, αλλά όχι αλάνθαστη.Ο επιτιθέμενος θα μπορούσε ακόμα να αντικαταστήσει αυτό το δημόσιο κλειδί με το δικό του, θα μπορούσαν ακόμα να σας παραπλανήσουν για να σκεφτούν ότι το ISO είναι νόμιμο.Ωστόσο, εάν το δημόσιο κλειδί φιλοξενείται σε διαφορετικό διακομιστή - όπως συμβαίνει με το Linux Mint - αυτό είναι πολύ λιγότερο πιθανό( δεδομένου ότι θα έπρεπε να hack δύο διακομιστές αντί για ένα μόνο).Αν όμως το δημόσιο κλειδί είναι αποθηκευμένο στον ίδιο διακομιστή με το ISO και το checksum, όπως συμβαίνει με ορισμένες διανομές, τότε δεν προσφέρει τόσο μεγάλη ασφάλεια.
Παρόλα αυτά, αν προσπαθείτε να επαληθεύσετε την υπογραφή PGP σε ένα αρχείο ελέγχου και στη συνέχεια να επικυρώσετε τη λήψη σας με αυτό το άθροισμα ελέγχου, αυτό είναι το μόνο που μπορείτε λογικά να κάνετε ως τελικός χρήστης που κατεβάζει ένα ISO του Linux.Είστε ακόμα πιο ασφαλείς από τους ανθρώπους που δεν ενοχλούν.
Πώς να επαληθεύσετε ένα Checksum στο Linux
Θα χρησιμοποιήσουμε το παράδειγμα του Linux Mint ως παράδειγμα, αλλά ίσως χρειαστεί να αναζητήσετε τον ιστότοπο της διανομής του Linux για να βρείτε τις επιλογές επαλήθευσης που προσφέρει.Για το Linux Mint, παρέχονται δύο αρχεία μαζί με το download ISO στα καθρέφτη λήψης.Κάντε λήψη του ISO και, στη συνέχεια, κάντε λήψη των αρχείων "sha256sum.txt" και "sha256sum.txt.gpg" στον υπολογιστή σας.Κάντε δεξί κλικ στα αρχεία και επιλέξτε "Αποθήκευση συνδέσμου ως" για να τα κατεβάσετε.
Στην επιφάνεια εργασίας του Linux, ανοίξτε ένα παράθυρο τερματικού και κάντε λήψη του κλειδιού PGP.Σε αυτή την περίπτωση, το κλειδί PGP του Linux Mint φιλοξενείται στον βασικό διακομιστή του Ubuntu και πρέπει να εκτελέσουμε την ακόλουθη εντολή για να την αποκτήσουμε.
gpg -keyserver hkp: //keyserver.ubuntu.com - κλειδιά επαναλήψεως 0FF405B2Ο δικτυακός τόπος της διανομής του Linux σας δείχνει προς το κλειδί που χρειάζεστε.
Διαθέτουμε τώρα όλα όσα χρειαζόμαστε: Το ISO, το αρχείο ελέγχου, το αρχείο ψηφιακής υπογραφής του checksum και το κλειδί PGP.Έτσι λοιπόν, αλλάξτε στο φάκελο που κατεβάσαμε. ..
cd ~ / Downloads. .. και εκτελέστε την ακόλουθη εντολή για να ελέγξετε την υπογραφή του αρχείου checksum:
gpg - verify sha256sum.txt.gpg sha256sum.txtΑν η εντολή GPG σάς ενημερώσει ότι το κατεβασμένο αρχείο sha256sum.txt έχει "καλή υπογραφή", μπορείτε να συνεχίσετε.Στην τέταρτη γραμμή του screenshot παρακάτω, το GPG μας ενημερώνει ότι πρόκειται για μια "καλή υπογραφή" που ισχυρίζεται ότι συνδέεται με τον δημιουργό του Clement Lefebvre, του Linux Mint.
Μην ανησυχείτε ότι το κλειδί δεν είναι πιστοποιημένο με "αξιόπιστη υπογραφή". Αυτό οφείλεται στο πώς λειτουργεί η κρυπτογράφηση PGP - δεν έχετε δημιουργήσει έναν ιστό εμπιστοσύνης εισάγοντας κλειδιά από αξιόπιστους ανθρώπους.Αυτό το σφάλμα θα είναι πολύ κοινό.
Τέλος, τώρα που γνωρίζουμε ότι το checksum δημιουργήθηκε από τους διαχειριστές του Linux Mint, εκτελέστε την ακόλουθη εντολή για να δημιουργήσετε ένα άθροισμα ελέγχου από το ληφθέν αρχείο. iso και να το συγκρίνετε με το αρχείο TXT του checksum που κατεβάσατε:
sha256sum --check sha256sum.txtΘα δείτε πολλά μηνύματα "κανένα τέτοιο αρχείο ή κατάλογο" αν έχετε κατεβάσει μόνο ένα αρχείο ISO, αλλά θα πρέπει να δείτε ένα μήνυμα "OK" για το αρχείο που κατεβάσατε αν αντιστοιχεί στο άθροισμα ελέγχου.
Μπορείτε επίσης να εκτελέσετε τις εντολές ελέγχου αθροίσματος απευθείας σε ένα αρχείο. iso.Θα εξετάσει το αρχείο. iso και θα φτύσει το checksum του.Στη συνέχεια, μπορείτε να ελέγξετε ότι ταιριάζει με το έγκυρο άθροισμα ελέγχου κοιτάζοντας και τα δύο με τα μάτια σας.
Για παράδειγμα, για να λάβετε το αρχείο SHA-256 ενός αρχείου ISO:
sha256sum /path/to/ file.isoΉ, αν έχετε μια τιμή md5sum και πρέπει να πάρετε το md5sum ενός αρχείου:
md5sum /path/to/ file.isoΣύγκρισημε το αρχείο ελέγχου TXT ελέγχου για να δείτε αν ταιριάζουν.
Πώς να επαληθεύσετε ένα Checksum στα Windows
Εάν κάνετε λήψη ενός ISO Linux από ένα μηχάνημα των Windows, μπορείτε επίσης να επαληθεύσετε το checksum εκεί - αν και τα Windows δεν διαθέτουν το απαραίτητο λογισμικό ενσωματωμένο.Έτσι, θα πρέπει να κατεβάσετε και να εγκαταστήσετε το εργαλείο Gpg4win ανοιχτού κώδικα.
Εντοπίστε το αρχείο κλειδιού υπογραφής του Linux Distro και τα αρχεία του checksum.Θα χρησιμοποιήσουμε το Fedora ως παράδειγμα εδώ.Ο ιστότοπος της Fedora παρέχει λήψεις ελέγχου και μας λέει ότι μπορούμε να κατεβάσουμε το κλειδί υπογραφής του Fedora από το https: //getfedora.org/static/ fedora.gpg.
Αφού κατεβάσετε αυτά τα αρχεία, θα χρειαστεί να εγκαταστήσετε το κλειδί υπογραφής χρησιμοποιώντας το πρόγραμμα Kleopatra που περιλαμβάνεται στο Gpg4win.Ξεκινήστε την Κλεοπάτρα και πατήστε Αρχείο & gt;Πιστοποιητικά εισαγωγής.Επιλέξτε το αρχείο. gpg που κατεβάσατε.
Μπορείτε τώρα να ελέγξετε αν το αρχείο του πακέτου ελέγχου που έχετε λάβει έχει υπογραφεί με ένα από τα βασικά αρχεία που εισήγατε.Για να το κάνετε αυτό, κάντε κλικ στο File & gt;Αποκρυπτογράφηση / επαλήθευση αρχείων.Επιλέξτε το αρχείο του πακέτου ελέγχου.Αποεπιλέξτε την επιλογή "Εισαγωγή αρχείου είναι μια αποσπασμένη υπογραφή" και κάντε κλικ στο "Αποκρυπτογράφηση / επαλήθευση".
Σίγουρα θα δείτε ένα μήνυμα σφάλματος αν το κάνετε αυτό, καθώς δεν έχετε αντιμετωπίσει το πρόβλημα επιβεβαίωσης των Fedoraτα πιστοποιητικά είναι πραγματικά νόμιμα.Αυτό είναι ένα πιο δύσκολο έργο.Αυτός είναι ο τρόπος με τον οποίο ο PGP έχει σχεδιαστεί για να λειτουργεί -συγκεντρώνετε και ανταλλάσσετε τα κλειδιά αυτοπροσώπως, για παράδειγμα, και συνδυάζετε έναν ιστό εμπιστοσύνης.Οι περισσότεροι άνθρωποι δεν το χρησιμοποιούν με αυτόν τον τρόπο.
Ωστόσο, μπορείτε να δείτε περισσότερες λεπτομέρειες και να επιβεβαιώσετε ότι το αρχείο ελέγχου μάρτυρα έχει υπογραφεί με ένα από τα πλήκτρα που έχετε εισαγάγει.Αυτό είναι πολύ καλύτερο από την απλή εμπιστοσύνη σε ένα αρχείο ISO που έχετε κατεβάσει χωρίς έλεγχο, ούτως ή άλλως.
Θα πρέπει πλέον να μπορείτε να επιλέξετε Αρχείο & gt;Επαληθεύστε τα αρχεία του Checksum και επιβεβαιώστε ότι οι πληροφορίες στο αρχείο του αθροίσματος ελέγχου συμπίπτουν με το ληφθέν αρχείο. iso.Ωστόσο, αυτό δεν λειτούργησε για εμάς - ίσως είναι ακριβώς ο τρόπος με τον οποίο ορίστηκε το αρχείο ελέγχου του Fedora.Όταν το δοκιμάσαμε με το αρχείο sha256sum.txt του Linux Mint, το έκαναν.
Αν αυτό δεν λειτουργεί για τη διανομή του Linux που έχετε επιλέξει, ακολουθήστε μια λύση.Αρχικά, κάντε κλικ στην επιλογή Ρυθμίσεις & gt;Ρύθμιση της Κλεοπάτρας.Επιλέξτε "Crypto Operations", επιλέξτε "Λειτουργίες αρχείου" και ορίστε την Kleopatra για να χρησιμοποιήσετε το πρόγραμμα ελέγχου "sha256sum", καθώς αυτό δημιουργήθηκε με αυτό το συγκεκριμένο checksum.Εάν έχετε ένα άθροισμα ελέγχου MD5, επιλέξτε "md5sum" στη λίστα εδώ.
Τώρα, κάντε κλικ στο Αρχείο & gt;Δημιουργήστε αρχεία Checksum και επιλέξτε το αρχείο ISO που κατεβάσατε.Η Κλεοπάτρα θα δημιουργήσει ένα άθροισμα ελέγχου από το αρχείο. iso και θα το αποθηκεύσει σε ένα νέο αρχείο.
Μπορείτε να ανοίξετε και τα δύο αυτά αρχεία - το ληφθέν αρχείο checksum και αυτό που μόλις δημιουργήσατε - σε ένα πρόγραμμα επεξεργασίας κειμένου όπως το Notepad.Βεβαιωθείτε ότι το άθροισμα ελέγχου είναι πανομοιότυπο τόσο με τα μάτια σας.Αν είναι πανομοιότυπο, έχετε επιβεβαιώσει ότι το αρχείο ISO που έχετε κατεβάσει δεν έχει παραβιαστεί.
Αυτές οι μέθοδοι επαλήθευσης δεν προορίζονταν αρχικά για προστασία από κακόβουλα προγράμματα.Σχεδιάστηκαν για να επιβεβαιώσουν ότι το αρχείο ISO σας κατεβάστηκε σωστά και δεν ήταν κατεστραμμένο κατά τη διάρκεια της λήψης, ώστε να μπορείτε να το κάψετε και να το χρησιμοποιήσετε χωρίς να ανησυχείτε.Δεν είναι μια απόλυτα ξέγνοιαστη λύση, καθώς πρέπει να εμπιστεύεστε το κλειδί PGP που κάνετε λήψη.Ωστόσο, αυτό παρέχει ακόμα περισσότερες εγγυήσεις από τη χρήση ενός αρχείου ISO χωρίς να το ελέγξετε καθόλου.Πιστοποίηση εικόνας
: Eduardo Quagliato στο Flickr