24Aug

Linux ISO: n tarkistussumman tarkistaminen ja sen vahvistaminen ei ole häiriintynyt

Viime kuussa Linux Mintin verkkosivustoa hakkeroitiin ja muokattu ISO-tiedosto ladattiin lataukseen, joka sisälsi takaportin. Vaikka ongelma on korjattu nopeasti, se osoittaa, että on tärkeää tarkistaa Linux-ISO-tiedostoja, joita olet ladannut ennen niiden suorittamista ja asentamista. Näin on.

Linux -julkaisut julkaisevat tarkistussummia, jotta voit vahvistaa, että lataamasi tiedostot ovat niitä, joita he väittävät olevan, ja ne on usein allekirjoitettu, jotta voit varmistaa, että tarkistussummat itse eivät ole muuttuneet. Tämä on erityisen hyödyllinen, jos lataat ISO: n jonnekin muualta kuin pääkohtaisen kolmannen osapuolen peilistä tai BItTorrentin kautta, jossa ihmisille on paljon helpompaa muokata tiedostoja.

Miten tämä prosessi toimii

ISO-prosessin tarkistusprosessi on vähän monimutkainen, joten ennen kuin saamme täsmälliset vaiheet, selitämme tarkalleen, mitä prosessi sisältää:

  1. Lataa Linuxin ISO-tiedosto Linux-jakelun verkkosivuilta taimuualla - tavalliseen tapaan.
  2. Lataa tarkistussumma ja sen digitaalinen allekirjoitus Linux-jakelun verkkosivuilta. Nämä voivat olla kaksi erillistä TXT-tiedostoa tai saatat saada yhden TXT-tiedoston, joka sisältää molemmat tiedot.
  3. Saat Linux-jakeluun kuuluvan julkisen PGP-avaimen. Voit saada tämän Linux-jakelun verkkosivustolta tai erillisiltä avainpalvelimilta, joita hallinnoivat samat ihmiset Linuxin jakelun mukaan.
  4. Käytät PGP-avainta varmistaaksesi, että tarkistussumman digitaalinen allekirjoitus on luonut sama henkilö, joka teki avaimen - tässä tapauksessa Linux-jakelun ylläpitäjät. Tämä vahvistaa, että itse tarkistussummaa ei ole peukoitu.
  5. Luo ladatun ISO-tiedoston tarkistussumman ja varmista, että se vastaa lataamasi tarkistussumman TXT-tiedostoa. Tämä vahvistaa, että ISO-tiedostoa ei ole muokattu tai vioittunut.

Prosessi voi poiketa hieman eri ISO: illa, mutta se yleensä seuraa yleistä mallia. Esimerkiksi on olemassa useita eri tyyppisiä tarkistussummia. Perinteisesti MD5-summat ovat olleet suosituimpia. Kuitenkin SHA-256 summia käytetään nykyään nykyaikaisemmissa Linux-jakeluissa, koska SHA-256 on vastustuskykyisempi teoreettisille hyökkäyksille. Keskustelemme pääasiassa SHA-256 summista, vaikka samanlainen prosessi toimii MD5-summilla. Jotkut Linux-doksit voivat myös tarjota SHA-1 summia, vaikka ne ovat jopa harvinaisempia.

Samoin jotkut distros eivät allekirjoita niiden tarkistussummia PGP: llä.Sinun on vain tehtävä vaiheet 1, 2 ja 5, mutta prosessi on paljon haavoittuvampi. Loppujen lopuksi, jos hyökkääjä voi korvata ISO-tiedoston ladattavaksi, he voivat myös korvata tarkistussumman.

PGP: n käyttäminen on paljon turvallisempaa, muttei luvatonta. Hyökkääjä voi silti korvata julkisen avaimen omillaan, mutta he saattavat silti pilata sinut ajattelemaan, että ISO on legit. Jos julkinen avain isännöi kuitenkin toisella palvelimella - kuten Linux Mintin tapauksessa - tämä on paljon vähemmän todennäköistä( koska he joutuisivat hakemaan kahta palvelinta vain yhden sijaan).Mutta jos julkinen avain tallennetaan samalle palvelimelle kuin ISO ja tarkistussumma, kuten eräiden drossien tapauksessa, se ei tarjoa yhtä paljon turvallisuutta.

Jos kuitenkin yrität tarkistaa tarkistussummatiedoston PGP-allekirjoituksen ja validoida sitten latauksen kyseisellä tarkistussummalla, voit tehdä tämän vain, kun loppukäyttäjä lataa Linux-ISO: n. Olet edelleen paljon turvallisempi kuin ihmiset, jotka eivät vaivaudu.

Linux-tarkistussumman tarkistaminen Linuxissa

Käytämme esimerkkinä Linux Mintia, mutta saatat joutua etsimään Linux-jakeluverkostosi verkkosivustoa etsimään sen tarjoamia todentamisvaihtoehtoja. Linux Mintille on kaksi tiedostoa ja ISO-lataus ladataan sen latauspeileihin. Lataa ISO ja lataa sitten "sha256sum.txt" ja "sha256sum.txt.gpg" -tiedostot tietokoneellesi. Napsauta tiedostoja hiiren kakkospainikkeella ja valitse "Tallenna linkki nimellä" lataamalla ne.

Avaa Linux-työpöydällä päätelaite ja lataa PGP-avain. Tällöin Linux Mintin PGP-avain isännöi Ubuntun avainpalvelimella, ja meidän on suoritettava seuraava komento.

gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

Linux distro -verkkosivustosi verkkosivut vievät sinut kohti avainta, jota tarvitset.

Meillä on nyt kaikki, mitä tarvitsemme: ISO, tarkistussummatiedosto, tarkistussumman digitaalinen allekirjoitustiedosto ja PGP-avain. Joten seuraava, vaihda kansioon, jonka ne ladattiin. ..

cd ~ / Downloads

. .. ja suorita seuraava komento tarkistaa tarkistussummustiedoston allekirjoitus:

gpg - vahvista sha256sum.txt.gpg sha256sum.txt

Jos GPG-komennon avulla tiedät, että ladatulla sha256sum.txt-tiedostolla on "hyvä allekirjoitus", voit jatkaa. Alla olevan kuvakaappauksen neljännellä rivillä GPG ilmoittaa meille, että tämä on "hyvä allekirjoitus", joka väittää liittyvän Linux Mintin luoja Clement Lefebvreen.

Älä huolehdi, että avain ei ole sertifioitu "luotetulla allekirjoituksella". Tämä johtuu siitä, miten PGP-salaus toimii - et ole asettanut luotettavia verkkoja tuomalla avaimia luotetuilta henkilöiltä.Tämä virhe on hyvin yleinen.

Lopuksi, kun tiedämme, että Linux Mintin ylläpitäjät ovat luoneet tarkistussumman, suorita seuraava komento luodaksesi tarkistussumman ladatusta. iso-tiedostosta ja vertaa sitä ladatun tarkistussumman TXT-tiedostoon:

sha256sum --check sha256sum.txt

Näet paljon "ei tällaisia ​​tiedostoja tai hakemistoja" viestejä, jos olet ladannut vain yhden ISO-tiedoston, mutta sinun pitäisi nähdä "OK" -viesti ladatulle tiedostolle, jos se vastaa tarkistussummaa.

Voit myös suorittaa tarkistussumman komennot suoraan. iso-tiedostossa. Se tutkii. iso-tiedoston ja sylittää sen tarkistussumman. Sen jälkeen voit tarkistaa, että se vastaa voimassa olevaa tarkistussummaa tarkastelemalla sekä silmäsi.

Esimerkiksi saada ISO-tiedoston SHA-256 summa:

sha256sum /path/to/-tiedosto.iso

Tai jos sinulla on md5sum-arvo ja tarvitset tiedoston md5sum:

md5sum /path/to/-tiedosto.iso

Vertaatulosta tarkistussumman TXT-tiedostolla, jotta näet, vastaavatko ne.

Windows

: n tarkistussumma Jos lataat Linux ISO: n Windows-koneelta, voit myös tarkistaa tarkistussumman, vaikka Windowsissa ei ole sisäänrakennettua ohjelmistoa. Joten sinun täytyy ladata ja asentaa avoimen lähdekoodin Gpg4win-työkalu.

Etsi Linux Distron allekirjoituksen avaustiedosto ja tarkistussummatiedostot. Käytämme Fedoraa esimerkkinä tässä.Fedora: n verkkosivusto tarjoaa tarkistussumma-lataukset ja kertoo, että voimme ladata Fedora-allekirjoituksen avaimen osoitteesta https: //getfedora.org/static/ fedora.gpg.

Kun olet ladannut nämä tiedostot, sinun on asennettava allekirjoitusavain Gpg4win-ohjelmiston mukana toimitetulla Kleopatra-ohjelmalla. Käynnistä Cleopatra ja valitse sitten Tiedosto & gt;Tuontitodistukset. Valitse ladattu. gpg-tiedosto.

Voit nyt tarkistaa, onko ladattu tarkistussummatiedosto allekirjoitettu yhdellä tuoduista avaintiedostoista. Napsauta tätä valitsemalla Tiedosto & gt;Tiedostojen purkaminen / tarkistaminen. Valitse ladattu tarkistussummatiedosto. Poista valinta "Syöttötiedosto on irrotettu allekirjoitus" -vaihtoehto ja napsauta "Decrypt / Verify".

Olet varma, että näet virheilmoituksen, jos teet sen tällä tavalla, koska et ole mennyt läpi ongelman näiden Fedoratodistukset ovat oikeutettuja. Se on vaikeampi tehtävä.Tämä on tapa, jolla PGP on suunniteltu toimimaan - tavata ja vaihtaa avaimia henkilökohtaisesti, ja koota yhteen luottamusverkosto. Useimmat ihmiset eivät käytä sitä tällä tavoin.

Voit kuitenkin tarkastella lisätietoja ja vahvistaa, että tarkistussummatiedosto on allekirjoitettu yhdellä tuoduista avaimista. Tämä on paljon parempi kuin vain luottaa ladattuun ISO-tiedostoon tarkistamatta.

Nyt voit valita Tiedosto & gt;Tarkista Checksum-tiedostot ja vahvista, että tarkistussummatiedoston tiedot vastaavat ladattua. iso-tiedostoa. Tämä ei kuitenkaan toimi meille - ehkä se on juuri sellainen kuin Fedoran tarkistussummatiedosto on määritetty. Kun kokeilimme tätä Linux Mintin sha256sum.txt-tiedostolla, se toimi.

Jos tämä ei toimi Linux-jakelun valinnassa, tässä on kiertotapa. Napsauta ensin Asetukset & gt;Määritä Kleopatra. Valitse "Salausoperaatiot", valitse "Tiedoston toiminnot" ja määritä Kleopatra käyttämään "sha256sum"-tarkistussummaohjelmaa. Jos sinulla on MD5-tarkistussumma, valitse tässä luettelossa "md5sum".

Klikkaa nyt tiedostoa & gt;Luo Checksum-tiedostoja ja valitse ladattu ISO-tiedosto. Cleopatra luo tarkistussumman ladatusta. iso-tiedostosta ja tallentaa sen uuteen tiedostoon.

Voit avata molemmat näistä tiedoista - lataamasi tarkistussummatiedoston ja juuri luomasi - tekstieditorissa, kuten Notepadissa. Varmista, että tarkistussumma on sama sekä omien silmiesi kanssa. Jos se on identtinen, olet varmistanut, että lataamasi ISO-tiedostosi ei ole vioittunut.

Näitä varmennusmenetelmiä ei alun perin tarkoitettu suojelemaan haittaohjelmilta. Ne on suunniteltu varmistamaan, että ISO-tiedosto on ladattu oikein ja ettei se ole vioittunut latauksen aikana, joten voit polttaa ja käyttää sitä huolestuttavasti. Ne eivät ole täysin typerä ratkaisu, sillä sinun on luotettava PGP-avaimeen, jonka lataat. Tämä kuitenkin tarjoaa kuitenkin paljon enemmän varmuutta kuin pelkästään ISO-tiedoston käyttämistä tarkastelematta sitä lainkaan.

Kuvauskurssi: Eduardo Quagliato Flickr

: llä