24Aug
Eelmisel kuul häkiti Linuxi mündi veebisaiti ja tagurpidi alla laaditi modifitseeritud ISO.Kuigi probleem oli kiiresti fikseeritud, näitab see, kui tähtis on kontrollida alla laaditud Linuxi ISO-faile enne nende käivitamist ja installimist. Siin on kuidas.
Linux distributsioonid avaldavad kontrollsummasid, et saaksite kinnitada, et allalaaditavad failid on need, mida nad väidavad, ja need on sageli allkirjastatud, nii et saate kontrollida, kas kontrollsummad ise ei ole omavahel muudetud. See on eriti kasulik, kui laadite ISO-i välja kuskil mujal kui põhisaiti, näiteks kolmanda osapoole peeglina või BItTorrent-i kaudu, kus inimestel on palju lihtsam faile avastada.
Kuidas see protsess töötab
ISO kontrollimise protsess on natuke keeruline, nii et enne täpsemate sammude astumist selgitame täpselt, mis protsessiga kaasneb:
- Laadite Linuxi ISO-faili Linuxi levitamise veebisaidilt-võikusagil mujal nagu tavaliselt.
- Laadijale on alla laaditud kontrollsumma ja selle digitaalallkiri. Need võivad olla kaks eraldi TXT-faili või võite saada ühe TXT-faili, mis sisaldab mõlemaid andmeid.
- Saate avalikku PGP-võtme, mis kuulub Linuxi levialasse. Võite selle saata Linuxi levitamise veebisaidilt või eraldi võti serverist, mida haldavad samad inimesed, sõltuvalt teie Linuxi levitamisest.
- Te kasutate PGP-koodi, et kontrollida, kas kontrolsumärki on digitaalallkiri loonud sama isik, kes tegi sellel juhul Linuxi levitajate hooldajad. See kinnitab, et kontrollsummat ei ole omavahel muudetud.
- Sa loovad oma allalaaditud ISO-faili kontrollsumma ja kontrollige, kas see vastab teie allalaaditud kontrollmahu TXT-failile. See kinnitab, et ISO-faili pole rikutud või rikutud.
Protsess võib erinevate ISO-de jaoks erineda, kuid tavaliselt järgitakse seda üldist mustrit. Näiteks on mitut erinevat tüüpi kontrollsummasid. Traditsiooniliselt on MD5 summad olnud kõige populaarsemad. Kuid SHA-256 summasid kasutatakse tänapäevastes Linuxi distributsioonides sagedamini, kuna SHA-256 on teoreetiliste rünnakute suhtes vastupidavam. Me arutame peamiselt SHA-256 summasid, kuigi sarnane protsess töötab MD5 summade puhul. Mõned Linuxi distribused võivad pakkuda ka SHA-1 summasid, kuigi need on veelgi levinumad.
Samuti ei anna mõned distributsioonid PGP-le nende kontrollsummasid. Teil on vaja teha ainult samme 1, 2 ja 5, kuid protsess on palju haavatavam. Lõppude lõpuks, kui ründaja võib asendada ISO-faili allalaadimiseks, võivad nad ka kontrollsumma asendada.
PGP kasutamine on palju turvalisem, kuid mitte lollikindel. Ründaja võib ikkagi selle avaliku võtme asendada endaga, võivad nad ikkagi sind petta, kui mõelda ISO-le. Kuid kui avalik võti hostiks mõnel muul serveril - nagu Linux Mint puhul -, muutub see palju vähem tõenäoliseks( kuna nad peaksid üheainsa asemel kaht serverit häkkima).Kuid kui avalik võtme salvestatakse samale serverile kui ISO ja kontrollsumm, nagu see on mõne marsruudi puhul, ei paku see nii palju turvalisust.
Siiski, kui proovite kontrollida PGP-allkirja kontrollsumfaili failis ja seejärel kontrollida allalaadimist selle kontrollsummaga, on see kõik, mida saate mõistlikult teha lõppkasutaja allalaadimisel Linux ISO-i. Sa oled endiselt palju turvalisem kui inimesed, kes ei häiri.
Kuidas kontrollsummat Linuxis
kontrollida Kasutame Linux Mint näiteks siin, kuid peate otsima oma Linuxi levitamise veebisaiti, et leida selle pakutavad kontrollimisvõimalused. Linuxi rahapajas on kaks allalaaditavat pilti sisaldava ISO-faili. Laadige ISO alla ja laadige oma arvutisse failid sha256sum.txt ja sha256sum.txt.gpg. Paremklõpsake failid ja valige nende allalaadimiseks valik "Salvesta link nimega".
Avage oma Linuxi töölaual terminali aken ja laadige alla PGP võti. Sellisel juhul asub Linuxi mündi PGP võti Ubuntu võtmeserveris ja me peame selle saamiseks käivitama järgmise käsu.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-võtmed 0FF405B2Teie Linuxi distributsiooni veebisait suunab teid vajaliku võtme suunas.
Meil on nüüd kõik, mida me vajame: ISO, kontrollsumfail, kontrollsumma digitaalallkirja fail ja PGP-võti. Nii et muutke kausta, mille nad laadisid alla. ..
cd ~ / Allalaaditud. .. ja kontrollsumfaili allkirja kontrollimiseks käsku järgnev käsk:
gpg --verify sha256sum.txt.gpg sha256sum.txtKui GPG käsk võimaldab teil teada, et allalaaditud sha256sum.txt-failil on "hea allkiri", saate seda jätkata. Allpool oleva ekraanikuva neljandale reale teatab GPG meile, et see on "hea allkiri", mis väidetavalt seostatakse Clement Lefebvre'i, Linux Mint'i loojaga.
Ärge muretsege, et võti pole sertifitseeritud "usaldusväärse allkirjaga". Selle põhjuseks on PGP-krüpteeringu toimimine. Te pole usaldusväärse veebi seadistanud, importides võtmeid usaldusväärsetelt inimestelt. See viga on väga levinud.
Lõpuks, nüüd, kui me teame, et kontrollmommi on loonud Linuxi müntide hooldajad, käivitage allalaaditud. iso-faili kontrollsisumma loomiseks alljärgnev käsk ja võrrelda seda allalaaditud kontrollitud TXT-failiga:
sha256sum --check sha256sum.txtKui laadite alla ainult ühe ISO-faili, näete paljusid "sellist faili või kataloogi" sõnumeid, kuid peaksite kontrollima, kas fail on allalaaditud, "OK" sõnumit.
Võite ka kontrollsumma käske käivitada otse. iso-failis. See uurib. iso-faili ja paneb selle kontrollsumma välja. Seejärel saate lihtsalt kontrollida, kas see vastab kehtivale kontrollsummale, vaadates nii silma.
Näiteks, et saada ISO-faili SHA-256 summa:
sha256sum /path/to/ file.isoVõi kui teil on md5sum väärtus ja teil on vaja saada faili md5sum:
md5sum /path/to/ file.isoVõrrelgetulemuse kontrollmahu TXT-failiga, et näha, kas need sobivad.
Kuidas kontrollmaht kontrollida Windowsis
Kui laadite alla Linuxi ISO-i Windowsi masinast, saate ka seal kontrollsummat kontrollida, kuigi Windowsil ei ole sisseehitatud vajalikku tarkvara. Seega peate alla laadima ja installima avatud lähtekoodiga Gpg4win tööriista.
Leidke oma Linuxi distributsiooni allkirjastamise võtmefail ja kontrollsumfailid. Näiteks kasutame Fedorat. Fedora veebisait pakub kontrollsummide allalaadimist ja ütleb meile, et võime allalaadida Fedora allkirjastamise võtme aadressilt https: //getfedora.org/static/ fedora.gpg.
Pärast nende failide allalaadimist peate installima allkirjaklahv Gpg4winiga kaasasoleva Kleopatra programmi abil. Käivitage Kleopatra ja klõpsake käsku Fail & gt;Impordisertifikaadid. Valige. gpg-fail, mille olete alla laadinud.
Nüüd saate kontrollida, kas allalaaditud kontrollsumfail allkirjastati ühe imporditud võtmefailiga. Selleks klõpsake käsku Fail & gt;Failide dekrüptimine / kinnitamine. Valige allalaaditud kontrollsumfail. Tühjendage valik "Sisendfail on eraldatud allkiri" ja klõpsake käsul "Decrypt / Verify".
Kindlasti näete veateadet, kui te seda teete sel viisil, kuna te ei ole läbinud probleeme nende Fedora kinnitamiselsertifikaadid on tegelikult õigustatud. See on keerulisem ülesanne. Nii toimib PGP-i eesmärk tööle - näiteks kohtad ja vahetavad võtmeid isiklikult ja koostavad usalduse veebi. Enamik inimesi ei kasuta seda sellisel viisil.
Kuid saate vaadata rohkem üksikasju ja kinnitada, et kontrollsumfail allkirjastati ühe imporditud võtmega. See on palju parem kui allalaaditud ISO-faili usaldusväärne kontrollimine ilma kontrollimiseta.
Nüüd peaksite saama valida File & gt;Kontrolli failide kontrollimine ja kontrollsumfaili andmete kinnitamine vastab allalaaditud. iso-failile. Kuid see ei toimi meie jaoks - võibolla on see lihtsalt Fedora kontrollsumfaili ülesanne. Kui me proovisime seda Linux Mint'i faili sha256sum.txt, tegi see tööd.
Kui see ei toimi teie Linuxi valikul levitamisel, on siin lahendus. Kõigepealt klõpsake valikul Seaded & gt;Kleopatra seadistamine. Valige käsk "Krüptooperatsioonid", valige "File Operations" ja määrake Kleopatra, et kasutada "sha256sum" -kontrolliprogrammi, kuna see on selle konkreetse kontrollsummiga loodud. Kui teil on MD5 kontrollsumma, valige siin loendist "md5sum".
Nüüd klõpsake File & gt;Loo kontroll-failid ja valige oma alla laaditud ISO-fail. Kleopatra genereerib kontrollitud hulgi allalaaditud. iso failist ja salvestab selle uuele failile.
Teil on võimalik avada mõlemad need failid - allalaaditud kontrollsumfail ja üks just loodud - tekstiredaktorina nagu Notepad. Kontrollige, kas kontrollsumma on teie silmadega ühesugune. Kui see on identne, olete kinnitanud, et teie alla laaditud ISO-faili ei ole rikutud.
Need kontrollimeetodid ei olnud algselt mõeldud pahavara kaitsmiseks. Nende eesmärk oli kinnitada, et teie ISO-fail on õigesti alla laaditud ja selle allalaadimise ajal ei rikutud, nii et võite seda muretsemata põletada ja seda kasutada. Nad pole täiesti lollikindlad lahendused, kuna peate oma allalaaditud PGP-võtme usaldama. Kuid see annab veelgi kindluse, kui ainult ISO-faili kasutamine, ilma et seda üldse kontrollitaks.
Image Credit: Eduard Quagliato Flickr
-l