24Aug
Prošlog mjeseca, web stranica Linux Minta bila je sjeckana, a izmijenjeni ISO postavljen je za preuzimanje koji uključuje i backdoor. Dok je problem brzo riješen, to pokazuje važnost provjere Linux ISO datoteka koje ste preuzeli prije pokretanja i instaliranja. Evo kako.
Linux distributeri objavljuju kontrolne zbroke kako biste mogli potvrditi da datoteke koje preuzimate su ono što oni tvrde da su, a to su često potpisani kako biste provjerili da sami čekovi nisu mijenjani. To je naročito korisno ako ISO preuzete s nekog drugog mjesta osim glavnog web sučelja - poput zrcala treće strane ili putem BItTorrenta, gdje je ljudima mnogo lakše manipulirati datotekama.
Kako ovaj proces radi
Proces provjere ISO-a je pomalo složen, stoga prije nego što dođemo do točnih koraka, objasnimo upravo ono što proces uključuje:
- Preuzmite Linux ISO datoteku s Linux distribucijske stranice ilinegdje drugdje - kao i obično.
- Preuzit ćete ček i njegov digitalni potpis s web stranice Linux distribucije. To mogu biti dvije zasebne TXT datoteke ili možete dobiti jednu TXT datoteku koja sadrži oba dijela podataka.
- Dobit ćete javni PGP ključ koji pripada Linux distribuciji. Možete to dobiti od Linux distribucijske web stranice ili zasebnog ključnog poslužitelja kojim upravljaju isti ljudi, ovisno o Linux distribuciji.
- Pomoću PGP ključa provjerit ćete je li digitalni potpis checksuma stvorio istu osobu koja je napravila ključ - u ovom slučaju, održavateljima te Linux distribucije. To potvrđuje da sam šećer nije izmijenjen.
- Generirat ćete kontrolni zbroj preuzete ISO datoteke i provjeriti odgovara provjeri TXT datoteke koju ste preuzeli. To potvrđuje da ISO datoteka nije izmijenjena ili oštećena.
Postupak se može razlikovati malo za različite ISO, ali obično slijedi taj opći uzorak. Na primjer, postoji nekoliko različitih vrsta čekova. Tradicionalno, MD5 sume bile su najpopularnije. Međutim, SHA-256 sume sada se češće koriste modernim Linux distribucijama, jer je SHA-256 otporniji na teorijske napade. Ovdje ćemo primarno raspravljati o iznosima SHA-256, iako će sličan proces raditi za iznose MD5.Neki Linux distros također mogu osigurati SHA-1 sumove, iako su to još manje uobičajene.
Slično tome, neki distributeri ne potpišu svoje provjere s PGP-om. Morat ćete samo poduzeti korake 1, 2 i 5, ali postupak je mnogo ranjiviji. Uostalom, ako napadač može zamijeniti ISO datoteku za preuzimanje, također može zamijeniti ček.
Korištenje PGP-a mnogo je sigurnije, ali ne i besprijekorno. Napadač je mogao i dalje zamijeniti taj javni ključ svojim vlastitim, mogli bi vas i dalje uvjeriti da je ISO legitiman. Međutim, ako je javni ključnik smješten na drugom poslužitelju - kao što je slučaj s Linux Mint - to postaje mnogo manje vjerojatno( budući da bi morali srušiti dva poslužitelja umjesto samo jedan).Ali ako je javni ključ pohranjen na istom poslužitelju kao i ISO i checksum, kao što je slučaj s nekim distributerima, onda ne nudi toliko sigurnosti.
Ipak, ako pokušavate potvrditi PGP potpis na datumskoj zbirci, a zatim provjeriti preuzimanje pomoću tog kontrolnog zbroja, sve to možete razumno učiniti kao krajnji korisnik koji preuzima Linux ISO.Još ste mnogo sigurniji od ljudi koji se ne smetaju.
Kako provjeriti kontrolni zbroj na Linuxu
Ovdje ćemo koristiti Linux Mint kao primjer, ali možda ćete morati pretražiti web stranicu svoje Linux distribucije kako biste pronašli opcije potvrde koje nudi. Za Linux Mint, dvije datoteke se isporučuju zajedno s ISO preuzimanjem na svojim preuzimanjima. Preuzmite ISO i preuzmite datoteke "sha256sum.txt" i "sha256sum.txt.gpg" na svoje računalo. Desnom tipkom miša kliknite datoteke i odaberite "Spremi vezu kao" da biste ih preuzeli.
Na Linux radnoj površini otvorite prozor terminala i preuzmite PGP ključ.U ovom slučaju, Linux Mint's PGP ključ je smješten na Ubuntu ključnom poslužitelju i moramo pokrenuti sljedeću naredbu kako bismo ga dobili.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Vaša Linux destro web stranica će vas uputiti prema ključu koji vam treba.
Sada imamo sve što nam je potrebno: ISO, datoteku checksuma, datoteku digitalnog potpisa checksumova i PGP ključ.Dakle sljedeći, promijenite u mapu u koju su preuzeli. ..
cd ~ / Downloads. .. i pokrenite sljedeću naredbu za provjeru potpisa datoteke checksum:
gpg - ovjeriti sha256sum.txt.gpg sha256sum.txtAko vam naredba GPG obavijesti da preuzeta datoteka sha256sum.txt ima "dobar potpis", možete nastaviti. U četvrtom retku snimke zaslona u nastavku, GPG nas obavještava da je to "dobar potpis" koji tvrdi da je povezan s Clementom Lefebvreom, dizajnerom Linux Mint.
Nemojte brinuti da ključ nije ovjeren s "pouzdanim potpisom". To je zbog načina funkcioniranja PGP šifriranja - niste postavili mrežu povjerenja uvozom ključeva od pouzdanih osoba. Ova će pogreška biti vrlo česta.
Na kraju, sada kada znamo da je checksum stvoren od strane održavatelja Linux Mint, pokrenite sljedeću naredbu da biste generirali kontrolni zbroj iz preuzete. iso datoteke i usporedite je s TXT datotekom za provjeru koju ste preuzeli:
sha256sum --check sha256sum.txtAko ste preuzeli samo jednu ISO datoteku, vidjet ćete puno poruka "nema datoteke ili direktorija", ali biste trebali vidjeti "OK" poruku za datoteku koju ste preuzeli ako se podudara s kontrolnim zbrojem.
Commands za checksum možete pokrenuti i izravno na. iso datoteku. Pregledat će. iso datoteku i ispljunuti ček. Zatim možete provjeriti da odgovara važećem kontrolnom zbroju gledanjem oba s vašim očima.
Na primjer, da biste dobili SHA-256 zbroj ISO datoteke:
sha256sum /path/to/ file.isoIli, ako imate vrijednost md5sum i trebate dobiti md5sum datoteke:
md5sum /path/to/ file.isoUsporediteRezultat je provjera TXT datoteke da biste provjerili odgovaraju li se.
Kako provjeriti kontrolni zbroj na sustavu Windows
Ako preuzimate Linux ISO sa strojnog računala Windows, možete provjeriti i kontrolni zbroj - iako sustav Windows nema ugrađen softver. Dakle, morat ćete preuzeti i instalirati alat otvorenog izvornog Gpg4wina.
Pronađite datoteku ključeva za potpisivanje vašeg Linux distroa i zbirke checksum datoteka. Ovdje ćemo koristiti Fedora kao primjer. Fedora web stranica pruža preuzimanje preuzimanja i kaže da možemo preuzeti ključ za potpisivanje Fedora iz https: //getfedora.org/static/ fedora.gpg.
Nakon što preuzmete te datoteke, morat ćete instalirati ključ za potpisivanje pomoću programa Kleopatra koji je uključen u Gpg4win. Pokrenite Kleopatra i kliknite File & gt;Uvoz certifikata. Odaberite. gpg datoteku koju ste preuzeli.
Sada možete provjeriti je li datoteka preuzeta skripta potpisana jednim od ključnih datoteka koje ste uvezli. Da biste to učinili, kliknite Datoteka & gt;Dešifriranje / Provjera datoteka. Odaberite preuzetu datoteku za provjeru. Poništite odabir opcije "Datoteka za unos je odvojena potpis" i kliknite "Odbijam / Potvrdi".
Sigurno ćete vidjeti poruku o pogrešci ako to učinite na ovaj način, jer niste prošli kroz nevolje potvrde onih Fedorapotvrde su zapravo legitimne. To je težak zadatak. To je način na koji je PGP dizajniran za rad - na primjer, osobno se susreće i razmjenjuje ključeve i sastavlja mrežu povjerenja. Većina ljudi to ne upotrebljava.
Međutim, možete vidjeti više pojedinosti i potvrditi da je datoteka s provjerom potpisao potpisan jednim od ključeva koje ste uvezli. To je mnogo bolje nego pouzdanje u preuzetu ISO datoteku bez provjere u svakom slučaju.
Sada biste trebali moći odabrati datoteku & gt;Potvrdite Checksum Files i potvrdite da se informacije u datoteci checksuma podudaraju s preuzetom. iso datotekom. Međutim, to nije funkcioniralo za nas - možda je to samo način na koji je Fedora provjera datoteka. Kada smo to pokušali s datotekom sha256sum.txt Linux Mint-a, to je uspjelo.
Ako to ne funkcionira za Linux distribuciju po izboru, ovdje je zaobilazno rješenje. Najprije kliknite Postavke & gt;Konfigurirajte Kleopatru. Odaberite "Kripto operacije", odaberite "Operacije datoteka" i postavite Kleopatra da upotrijebite program "checksum" sha256sum, jer je generiran taj kontrolni zbroj. Ako imate MD5 kontrolni zbroj, na popisu odaberite ovdje "md5sum".
Sada kliknite File & gt;Stvorite Checksum Files i odaberite preuzetu ISO datoteku. Kleopatra će generirati kontrolni zbroj iz preuzete. iso datoteke i spremiti je u novu datoteku.
Možete otvoriti obje ove datoteke - preuzetu datoteku za provjeru i onu koju ste upravo generirali - u uređivaču teksta kao što je Notepad. Potvrdite da je provjera istovjetna i kod vlastitih očiju. Ako je to identično, potvrdili ste da preuzeta ISO datoteka nije izmijenjena.
Ove verifikacijske metode nisu izvorno namijenjene za zaštitu od zlonamjernog softvera. Izrađene su tako da potvrde da je vaša ISO datoteka ispravno preuzeta i nije bila oštećena tijekom preuzimanja, tako da je možete izgorjeti i koristiti bez brige. Nisu potpuno besprijekoran, jer morate vjerovati PGP ključu koji preuzimate. Međutim, to ipak pruža mnogo veću sigurnost od korištenja ISO datoteke bez provjere uopće.
Image Credit: Eduardo Quagliato na Flickr