24Aug
A múlt hónapban a Linux Mint weboldalát feltörték, és egy módosított ISO-t letöltöttek, amely hátsó ajtót tartalmazott. Amíg a probléma gyorsan megoldódott, megmutatja annak fontosságát, hogy ellenőrizze a futtatni kívánt Linux ISO fájlokat, mielőtt telepítené azokat. Itt van, hogyan. Az
Linux disztribúciók ellenőrző összegeket adnak ki, így meggyőződhet arról, hogy a letöltött fájlok mi az, amit állítanak, és ezeket gyakran aláírják, így ellenőrizheti, hogy maguk a próbamennyiségeket nem manipulálták-e. Ez különösen akkor hasznos, ha ISO-t tölt le a fő webhelytől eltérő helyről - például egy külső tükörről, vagy BItTorrenten keresztül, ahol az emberek sokkal könnyebben manipulálhatják a fájlokat.
Hogyan működik ez a folyamat
Az ISO ellenőrzésének folyamata egy kicsit bonyolult, ezért mielőtt a pontos lépésekbe lépnénk, megmagyarázzuk pontosan mi a folyamat:
- A Linux-ISO fájlt a Linux disztribúciós weboldaláról töltjük le - vagyvalahol máshol - a szokásos módon.
- A kiszámítás és a digitális aláírás letöltése a Linux disztribúció webhelyéről. Ezek lehetnek két különálló TXT fájl, vagy csak egyetlen TXT fájlt kaphat, amely mindkét adatot tartalmazza.
- A Linux disztribúcióhoz tartozó nyilvános PGP kulcsot kap. Ezt a Linux disztribúció weboldaláról vagy egy külön kulcskiszolgálóról szerezheti be, amelyet ugyanazok az emberek kezelnek, a Linux disztribúciójától függően.
- A PGP-kulcs segítségével ellenőrizheti, hogy az ellenőrző összeg digitális aláírását ugyanaz a személy hozta létre, aki a kulcsot - ebben az esetben a Linux disztribúció fenntartói. Ez megerősíti, hogy maga a ellenőrző összeg nem lett megváltoztatva.
- A letöltött ISO fájl ellenőrző összegét generálja, és ellenőrizze, hogy megfelel-e a letöltött ellenőrzőösszeg TXT fájlnak. Ez megerősíti, hogy az ISO fájl nem lett megváltoztatva vagy sérült.
A folyamat eltérő lehet a különböző ISO-k esetében, de általában az általános mintát követi. Például több különböző típusú ellenőrzőösszeg van. Hagyományosan az MD5 összegek voltak a legnépszerűbbek. Az SHA-256 összegeket azonban a modern Linux disztribúciók gyakrabban használják, mivel az SHA-256 ellenáll az elméleti támadásoknak. Itt elsősorban a SHA-256 összegeket vitatjuk meg, bár hasonló folyamat fog működni az MD5 összegeknél. Egyes Linux disztribúciók SHA-1 összegeket is adhatnak, bár ezek még kevésbé gyakoriak.
Hasonlóképpen, egyes disztribúciók nem írják alá ellenőrző összegüket a PGP-vel. Csak az 1., 2. és 5. lépést kell végrehajtania, de a folyamat sokkal sérülékenyebb. Végtére is, ha a támadó helyettesítheti az ISO-fájlt letöltésre, akkor is helyettesítheti az ellenőrző összeget.
A PGP használata sokkal biztonságosabb, de nem bolondbiztos. A támadó még mindig helyettesítheti ezt a nyilvános kulcsot a sajátjával, még mindig te is rádöhetnének arra, hogy az ISO-nek legitim. Ha azonban a nyilvános kulcs egy másik kiszolgálón található, mint például a Linux Mint esetében, akkor ez sokkal kevésbé valószínűsíthető( mivel két kiszolgálót kellene kicserélni, csak egy helyett).De ha a nyilvános kulcsot ugyanazon a kiszolgálón tárolja, mint az ISO és a checksum, mint néhány disztribúció esetében, akkor nem nyújt annyi biztonságot.
Mégis, ha megpróbálja ellenőrizni a PGP aláírását egy ellenőrző összegfájlban, majd ellenőrizni fogja a letöltést az adott ellenőrzőösszeggel, akkor mindezt úgy érheted el, hogy a végfelhasználó a Linux ISO-t letölti. Még mindig sokkal biztonságosabb vagy, mint azok, akik nem zavarják.
Az
ellenőrzőszámának ellenőrzése Itt használjuk a Linux Mint programot, de előfordulhat, hogy meg kell keresned a Linux disztribúció webhelyét, hogy megtaláld az általa kínált hitelesítési lehetőségeket. A Linux Mint esetében két fájl található az ISO letöltéssel együtt letöltési tükrökön. Töltse le az ISO-t, majd töltse le a "sha256sum.txt" és a "sha256sum.txt.gpg" fájlokat a számítógépére. Kattintson a jobb egérgombbal a fájlokra, és válassza ki a "Link mentése másként" lehetőséget a letöltéshez.
A Linux asztalon megnyithat egy terminál ablakot és töltse le a PGP kulcsot. Ebben az esetben a Linux Mint PGP kulcsát az Ubuntu kulcskiszolgálóján tárolják, és a következő parancsot kell futtatnunk ahhoz, hogy megkapjuk.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Az Ön Linux distro honlapja megmutatja Önt a kívánt kulcs felé.
Most mindent megtalálunk, amire szükségünk van: az ISO, az ellenőrzőösszeg fájl, az ellenőrzőösszeg digitális aláírási fájljája és a PGP kulcs. Tehát a következő, váltsd át a mappába, ahová letöltöttek. ..
cd ~ / Letöltések. .. és futtassuk a következő parancsot az ellenőrzőösszeg fájl aláírásának ellenőrzéséhez:
gpg - verify sha256sum.txt.gpg sha256sum.txtHa a GPG parancs megmondja, hogy a letöltött sha256sum.txt fájl "jó aláírással" rendelkezik, akkor folytathatja. Az alábbi képernyőkép negyedik sorában a GPG tájékoztat minket arról, hogy ez egy "jó aláírás", amely azt állítja, hogy társult Clement Lefebvre-vel, a Linux Mint készítőjével.
Ne aggódj, hogy a kulcs nem hitelesített "megbízható aláírással." Ez azért van így, mert a PGP titkosítás működik - nem hozta létre a bizalmi hálózatot, ha kulcsokat importált a megbízható emberektől. Ez a hiba nagyon gyakori.
Végül, most, hogy tudjuk, hogy az ellenőrző összeget a Linux Mint karbantartók hozták létre, futtassa a következő parancsot, hogy ellenőrző összeget hozzon létre a letöltött. iso fájlból, és hasonlítsa össze a letöltött ellenőrzőösszeg TXT fájllal:
sha256sum --check sha256sum.txtSok ilyen "fájl vagy könyvtár" üzenet jelenik meg, ha csak egyetlen ISO fájlt töltött le, de egy "OK" üzenetet kell látnia a letöltött fájlhoz, ha megfelel az ellenőrző összegnek.
Az ellenőrzőösszeg parancsokat közvetlenül az. iso fájlban is futtathatja. Megvizsgálja az. iso fájlt, és kiöli az ellenőrző összeget. Ezután ellenőrizheti, hogy megfelel-e az érvényes ellenőrzőösszegnek mindkét szemével.
Például, ha megkapja az ISO fájl SHA-256 összegét:
sha256sum /path/to/ file.isoVagy, ha van md5sum értéke, és szüksége van egy fájl md5sum-ra:
md5sum /path/to/ fájl.isoHasonlítsa össze aaz ellenőrzőösszeg TXT-fájljának eredménye, hogy megnézze, hogy megfelelnek-e.
A verzió ellenőrzése Windows rendszeren
Ha Windows operációs rendszert futtat egy Linux ISO-ről, ellenőrizheti az ellenőrzőösszeget is - bár a Windows nem rendelkezik a szükséges beépített szoftverrel. Szóval le kell töltenie és telepítenie kell a nyílt forrású Gpg4win eszközt.
Keresse meg a Linux distro aláíró kulcsfájlját és ellenőrző összegfájljait. Itt példát fogunk használni a Fedora-nak. A Fedora honlapja ellenőrző letöltéseket ad, és elmondja nekünk, hogy letölthetjük a Fedora aláíró kulcsot a https: //getfedora.org/static/ fedora.gpg címen.
Miután letöltötte ezeket a fájlokat, telepítenie kell az aláíró kulcsot a Gpg4win programhoz mellékelt Kleopatra program használatával. Indítsa el a Cleopatra elemet, és kattintson a Fájl & gt;Tanúsítványok importálása. Válassza ki a letöltött. gpg fájlt.
Most ellenőrizheti, hogy a letöltött ellenőrző összegfájl alá van-e írva az importált kulcsfájlok egyikével. Ehhez kattintson a Fájl & gt;Fájlok visszafejtése / ellenőrzése. Válassza ki a letöltött ellenőrző összegfájlt. Törölje a jelölőnégyzetből a "Beviteli fájl önálló aláírást" opciót, és kattintson a "Decrypt / Verify" gombra.
Biztos benne, hogy hibaüzenetet kap, ha így teszel, mivel nem sikerült a Fedorabizonyítványok valójában jogszerűek. Ez nehezebb feladat.Így dolgozik a PGP-vel, és személyesen találkozik és kicseréli a kulcsokat, és összeállít egy bizalmi hálózatot. A legtöbb ember nem használja ezt így.
Azonban további részleteket tekinthet meg, és megerősítheti, hogy az ellenőrző összegfájl az importált kulcsok egyikével lett aláírva. Ez sokkal jobb, mint a letöltött ISO fájl ellenőrzése nélkül.
Most már képesnek kell lennie a File & gt;Ellenőrizze a Checksum fájlokat, és erősítse meg, hogy az ellenőrző összegfájlban szereplő információk megfelelnek a letöltött. iso fájlnak. Ez azonban nem működött számunkra - talán csak így fedezik fel a Fedora ellenőrzőösszeg-fájlját. Amikor megpróbáltuk ezt a Linux Mint's sha256sum.txt fájljával, akkor működött.
Ha ez nem működik az Ön Linux disztribúciójára, itt van egy kerülő megoldás. Először kattintson a Beállítások & gt;Konfiguráld Kleopatrát. Válassza ki a "Crypto Operations" menüpontot, majd válassza a "File Operations" parancsot, és állítsa be a Cleopatra-ot a "sha256sum" checksum program használatához, mivel ezt az ellenőrző összeget generálta. Ha van MD5 ellenőrző összege, itt válassza a "md5sum" lehetőséget.
Most kattintson a Fájl & gt;Hozzon létre ellenőrző összegfájlokat, és válassza ki a letöltött ISO fájlt. A Cleopatra létrehoz egy ellenőrző összeget a letöltött. iso fájlból, és mentheti egy új fájlba.
Megnyithatja mindkét fájlt - a letöltött ellenőrző összegfájl-fájlt és az éppen generáltat - olyan szövegszerkesztőben, mint a Notepad. Erősítse meg, hogy a csekk összege mind a saját szemével azonos. Ha ez megegyezik, akkor megerősítette, hogy a letöltött ISO fájl nem lett megváltoztatva.
Ezek az ellenőrzési módszerek eredetileg a rosszindulatú programok ellen védettek.Úgy tervezték, hogy meggyőződjön arról, hogy az ISO fájlt helyesen töltötte le és nem sérült meg a letöltés során, így égetés nélkül használhatta fel. Nem teljesen biztonságos megoldás, hiszen meg kell bízni a letölteni kívánt PGP-kulcson. Azonban ez még mindig sokkal nagyobb biztonságot nyújt, mint egy ISO fájl használata, anélkül, hogy ellenőrizné azt.
képarány: Eduardo Quagliato a Flickr
-n