24Aug
בחודש שעבר, האתר של לינוקס מינט נפרץ, ו ISO שונה הושם להורדה שכללה אחורית.למרות שהבעיה תוקנה במהירות, היא מדגימה את החשיבות של בדיקת קובצי Linux Linux שתוריד לפני הרצתם והתקנתם.הנה איך.
הפצות לינוקס לפרסם checksums, כך שתוכל לאשר את הקבצים שאתה מוריד הם מה שהם טוענים להיות, ואלה חתומים לעתים קרובות, כך שתוכל לבדוק את checkums עצמם לא טופלו.תכונה זו שימושית במיוחד אם מורידים את ה- ISO ממקום אחר שאינו האתר הראשי - כמו מראה של צד שלישי, או באמצעות BItTorrent, שבה הרבה יותר קל לאנשים להתעסק עם קבצים.
כיצד תהליך זה עובד
תהליך בדיקת ה- ISO הוא קצת מורכב, לכן לפני שנכנס לשלבים המדויקים, הבה נסביר בדיוק מה התהליך כרוך:
- תוריד את קובץ ה- Linux של Linux מאתר ההפצה של לינוקס - אובמקום אחר - כרגיל.
- תוכלו להוריד את הבדיקות ואת החתימה הדיגיטלית שלה מאתר ההפצה של לינוקס.אלה עשויים להיות שני קבצי TXT נפרדים, או שאתה יכול לקבל קובץ TXT יחיד המכיל שני חלקי נתונים.
- תקבל מפתח PGP ציבורי השייך להפצת לינוקס.אתה יכול לקבל את זה מאתר ההפצה של לינוקס או שרת מפתח נפרד המנוהל על ידי אותם אנשים, בהתאם ההפצה לינוקס שלך.
- תשתמש במפתח PGP כדי לוודא שהחתימה הדיגיטלית של הסקירה נוצרה על ידי אותו אדם שעשה את המפתח - במקרה זה, את המפעילים של ההפצה של Linux.זה מאשר את בדיקת עצמה לא טופל.
- תיצור את בדיקת הסיכום של קובץ ה- ISO שהורדת, ולוודא שהוא תואם את הקובץ TXT בדיקת שהורדת.זה מאשר את קובץ ה- ISO לא טופל או פגום.
התהליך עשוי להיות שונה מעט עבור ISO שונים, אבל זה בדרך כלל אחרי דפוס כללי.לדוגמה, ישנם סוגים שונים של בדיקות.באופן מסורתי, MD5 סכומים היו הפופולריים ביותר.עם זאת, SHA-256 סכומים כיום בשימוש תכוף יותר על ידי הפצות לינוקס מודרנית, כמו SHA-256 הוא עמיד יותר להתקפות תיאורטיות.בראש ובראשונה נדון כאן בשא-פה 256, אם כי תהליך דומה יעבוד בסכומי MD5.חלק מהפריסות של לינוקס עשויות גם לספק סכומי SHA-1, אם כי אלה אפילו פחות נפוצים.
כמו כן, חלק distros לא לחתום על checkums שלהם עם PGP.אתה רק צריך לבצע שלבים 1, 2, 5, אבל התהליך הוא הרבה יותר פגיע.אחרי הכל, אם התוקף יכול להחליף את קובץ ה- ISO להורדה הם יכולים גם להחליף את בדיקת.
באמצעות PGP הוא הרבה יותר מאובטח, אבל לא בטוח.התוקף עדיין יכול להחליף את המפתח הציבורי עם שלהם, הם עדיין יכול להערים עליך לחשוב ISO הוא לגיטימי.עם זאת, אם המפתח הציבורי מתארח בשרת אחר - כמו במקרה של לינוקס מנטה - זה הופך להיות הרבה פחות סביר( שכן הם היו צריכים לפרוץ שני שרתים במקום רק אחד).אבל אם המפתח הציבורי מאוחסן על אותו שרת כמו ISO ו בדיקת, כמו במקרה של כמה distros, אז זה לא מציע הרבה ביטחון.
עדיין, אם אתה מנסה לאמת את חתימת PGP על קובץ בדיקת ולאחר מכן לאמת את ההורדה שלך עם בדיקת זה, זה כל מה שאתה יכול לעשות באופן סביר כמו משתמש הקצה הורדת ISO Linux.אתה עדיין הרבה יותר בטוח מאשר אנשים שלא טורחים.
כיצד לאמת את ההמחאה ב- Linux
נשתמש ב- Linux Mint כדוגמה כאן, אך ייתכן שיהיה עליך לחפש באתר ההפצה של Linux שלך כדי למצוא את אפשרויות האימות שהוא מציע.עבור לינוקס מנטה, שני קבצים מסופקים יחד עם ההורדה ISO על מראות ההורדה שלה.הורד את ה- ISO ולאחר מכן הורד את הקבצים "sha256sum.txt" ו- "sha256sum.txt.gpg" למחשב שלך.לחץ לחיצה ימנית על הקבצים ובחר "שמור קישור בשם" כדי להוריד אותם.
בשולחן העבודה של לינוקס, פתח חלון מסוף והורד את מקש PGP.במקרה זה, מפתח PGP של לינוקס מינט מתארח בשרת המפתח של אובונטו, ואנחנו חייבים להפעיל את הפקודה הבאה כדי לקבל את זה.
gpg - keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2אתר הפצת לינוקס שלך יכוון אותך לעבר המפתח שאתה צריך.
עכשיו יש לנו את כל מה שאנחנו צריכים: ISO, קובץ בדיקת, קובץ החתימה הדיגיטלית של הבדיקה, ומפתח PGP.אז הבא, לשנות את התיקייה הם הורדו ל. ..
CD ~ / הורדות. .. ולהפעיל את הפקודה הבאה כדי לבדוק את החתימה של הקובץ בדיקת:
gpg --verify sha256sum.txt.gpg sha256sum.txtאם הפקודה GPG מאפשרת לך לדעת כי הקובץ sha256sum.txt שהורדת יש "חתימה טובה", אתה יכול להמשיך.בשורה הרביעית של צילום המסך למטה, GPG מודיע לנו שזו "חתימה טובה" הטוענת כי היא קשורה לקלמנט לפבר, היוצר של לינוקס מינט.
אל תדאג שהמפתח אינו מאושר עם "חתימה מהימנה". הסיבה לכך היא פעולת ההצפנה של PGP - לא הגדרת רשת של אמון על ידי ייבוא מפתחות מאנשים מהימנים.שגיאה זו תהיה נפוצה מאוד.
לבסוף, כעת, לאחר שנודע לנו שהמחשב נוצר על-ידי מתכנני Mint Linux, הפעל את הפקודה הבאה כדי ליצור בדיקת בדיקה מקובץ ה-. iso שהורדת והשווה אותו לקובץ ה- TXT של בדיקת ה- TXT שהורדת:
sha256sum --check sha256sum.txtתראו הרבה "קבצים או תיקיות" כאלה אם הורדתם רק קובץ ISO אחד, אבל אתם צריכים לראות הודעת "אישור" עבור הקובץ שהורדתם אם הוא תואם את בדיקת.
ניתן גם להפעיל את פקודות הבדיקה ישירות בקובץ. iso.הוא יבדוק את התיק של איסו וירק את הבדיקה.לאחר מכן תוכל רק לבדוק את זה תואם את בדיקת תקף על ידי התבוננות בשתי העיניים.
לדוגמה, כדי לקבל את סכום ה- SHA-256 של קובץ ISO:
sha256sum /path/to/ file.isoאו אם יש לך ערך md5sum ויש צורך לקבל את md5sum של הקובץ:
md5sum /path/to/ file.isoהשווה אתתוצאה עם קובץ TXT של בדיקת הטבלה כדי לבדוק אם הם תואמים.
כיצד לאמת את בדיקת הסיכום ב- Windows
אם אתה מוריד ISO Linux ממחשב Windows, באפשרותך גם לאמת את בדיקת המצב שם - אף על פי של- Windows אין את התוכנה הדרושה.אז, תצטרך להוריד ולהתקין את קוד פתוח Gpg4win הכלי.
אתר את חתימת לינוקס חתימה של קובץ מפתח קבצים בדיקת.נשתמש בפדורה כדוגמה כאן.אתר האינטרנט של פדורה מספק הורדות בדיקה ואומר לנו שנוכל להוריד את מפתח החתימה של Fedora מ- https: //getfedora.org/static/ fedora.gpg.
לאחר הורדת קבצים אלה, יהיה עליך להתקין את מפתח החתימה באמצעות תוכנית Kleopatra הכלולה ב- Gpg4win.הפעל את Kleopatra ולחץ על קובץ & gt;ייבוא אישורים.בחר את קובץ ה- gpg שהורדת.
כעת באפשרותך לבדוק אם קובץ הבדיקה שהורדת נחתם עם אחד מקבצי המפתח שייבאת.לשם כך, לחץ על קובץ & gt;פענוח / אמת קבצים.בחר בקובץ הבדיקה שהורדת.בטל את הסימון של "קובץ קלט הוא חתימה מנותקת" ולחץ על "פענוח / אמת".
אתה בטוח תראה הודעת שגיאה אם אתה עושה את זה בצורה זו, כפי שאתה לא עבר את הטרחה של אישור אלה Fedoraהתעודות הן למעשה לגיטימיות.זו משימה קשה יותר.זוהי הדרך בה PGP מתוכננת לעבוד - אתם נפגשים ומחליפים מפתחות באופן אישי, לדוגמה, ומחברים יחד רשת של אמון.רוב האנשים לא משתמשים בו בדרך זו.
עם זאת, באפשרותך להציג פרטים נוספים ולאשר כי קובץ בדיקת הסיכום נחתם באמצעות אחד המקשים שייבאת.זה הרבה יותר טוב מאשר רק לסמוך על הורדת קובץ ISO מבלי לבדוק, בכל מקרה.
כעת תוכל לבחור File & gt;אמת את קבצי Checksum וודא שהמידע בקובץ ה- checkum תואם לקובץ. iso שהורדת.אבל זה לא עבד בשבילנו - אולי זה בדיוק כמו שמובאים תיק החקירה של פדורה.כאשר ניסינו את זה עם קובץ she256sum.txt של לינוקס Mint, זה עבד.
אם זה לא עובד עבור ההפצה לינוקס שלך של בחירה, הנה פתרון לעקיפת הבעיה.ראשית, לחץ על הגדרות & gt;הגדר קליאופטרה.בחר "פעולות הצפנה", בחר "פעולות קובץ", ולהגדיר Kleopatra להשתמש בתוכנית "sha256sum" בדיקת, כמו זה מה זה בודק מסוים שנוצר עם.אם יש לך בדיקת MD5, בחר "md5sum" ברשימה כאן.
כעת, לחץ על קובץ & gt;צור קבצי Checksum ובחר את קובץ ה- ISO שהורדת.קליאופטרה תייצר בדיקת מידע מקובץ ה-. iso שהורדת ושמור אותו לקובץ חדש.
באפשרותך לפתוח את שני הקבצים הללו - קובץ הבדיקה שהורדת ואת הקובץ שיצרת זה עתה - בעורך טקסט כמו 'פנקס רשימות'.אשר את בדיקת המצב זהה בשתי העיניים שלך.אם זה זהה, אתה כבר אישר את קובץ ה- ISO שהורדת לא טופל.
שיטות אימות אלה לא נועדו במקור להגנה מפני תוכנות זדוניות.הם נועדו לאשר כי קובץ ה- ISO שלך הורדו כראוי ולא היה פגום במהלך ההורדה, כך שאתה יכול לשרוף ולהשתמש בו ללא דאגה.הם לא פתרון בטוח לחלוטין, כמו שאתה צריך לסמוך על מקש PGP שאתה מוריד.עם זאת, זה עדיין מספק הרבה יותר ביטחון מאשר רק באמצעות קובץ ISO מבלי לבדוק את זה בכלל.
תמונה אשראי: אדוארדו Quagliato על Flickr