24Aug

Kaip patikrinti "Linux ISO" kontrolinį patikrinimą ir patvirtinti, kad jis nebuvo pažeistas

Praėjusį mėnesį "Linux Mint" interneto svetainė buvo įsilaužta, o modifikuota ISO buvo paruošta atsisiųsti, įskaitant "backdoor".Nors problema buvo greitai ištaisyta, tai rodo, kaip svarbu patikrinti atsisiųstų "Linux" ISO failus prieš paleidžiant ir įdiegiant juos.Štai kaip.

"Linux" platinimai skelbia kontrolines sumas, todėl galite patvirtinti, kad siunčiami failai yra tie, kuriuos jie teigia esąs, ir jie dažnai yra pasirašyti, todėl galite patikrinti, ar pačios kontrolinės sumos nebuvo pažeistos. Tai ypač naudinga, jei atsisiųsite ISO iš kažko, išskyrus pagrindinę svetainę, pavyzdžiui, trečiosios šalies veidrodį, arba per "BItTorrent", kur žmonėms yra daug lengviau keisti failus.

Kaip veikia šis procesas

ISO tikrinimo procesas yra šiek tiek sudėtingas, taigi prieš tai, kai pateiksime tikslius veiksmus, tiksliai paaiškinsime, su kokiu procesu susijęs procesas:

  1. Jūs atsisiųsite Linux ISO failą iš "Linux" platinimo svetainės-arbakažkur kitur, kaip įprasta.
  2. Jūs atsisiųsite kontrolinę sumą ir jos skaitmeninį parašą iš "Linux" platinimo svetainės. Tai gali būti du skirtingi TXT failai arba galite gauti vieną TXT failą, kuriame yra abiejų duomenų rinkinys.
  3. Jūs gausite viešąjį "PGP" raktą, priklausantį "Linux" platinimui. Galite gauti tai iš "Linux" platinimo svetainės arba atskiro rakto serverio, valdomo tų pačių žmonių, priklausomai nuo jūsų "Linux" paskirstymo.
  4. Jūs naudosite PGP raktą, norėdami įsitikinti, kad kontrolinės sumos skaitmeninį parašą sukūrė tas pats asmuo, kuris šiuo atveju sukūrė pagrindinį "key-in", kuris yra "Linux" paskirstymo palaikytojai. Tai patvirtina, kad pačios kontrolinės sumos nebuvo pažeistos.
  5. Jūs generuosite atsisiųsto ISO failo kontrolinę sumą ir patikrinsite, ar tai atitinka jūsų atsisiųstos TXT failo kontrolinės sumos. Tai patvirtina, kad ISO failas nebuvo pažeistas arba sugadintas.

Procesas gali skirtis šiek tiek skirtingiems ISO, tačiau paprastai jis būna toks pats. Pavyzdžiui, yra keletas skirtingų tipų kontrolinių sumų.Tradiciškai MD5 sumos buvo populiariausios. Tačiau SHA-256 sumos dabar dažniau naudojamos šiuolaikiniuose "Linux" platinimuose, nes SHA-256 yra labiau atsparus teoriniams išpuolius. Mes pirmiausia aptarsime SHA-256 sumas, nors panašus procesas bus skirtas MD5 sumoms. Kai kurie "Linux" distros taip pat gali teikti SHA-1 sumas, nors tai yra dar mažiau paplitusi.

Panašiai kai kurie platintojai nepasirašo savo kontrolinių sumų naudodami PGP.Jums reikės atlikti tik 1, 2 ir 5 veiksmus, tačiau procesas yra daug labiau pažeidžiamas. Galų gale, jei užpuolikas gali pakeisti ISO failą atsisiųsti, jie taip pat gali pakeisti kontrolinę sumą.

Naudojant PGP yra daug saugesnis, bet ne kvailas. Užpuolikas vis tiek gali pakeisti tą viešąjį raktą savo nuosavybe, bet vis tiek gali apgauti jus į galvą, kad ISO yra teisėtas. Tačiau, jei viešasis raktas yra priglobtas kitame serveryje, kaip ir "Linux Mint" atveju, tai tampa kur kas mažiau tikėtinas( nes jie turėtų sugadinti du serverius, o ne vieną).Tačiau jei viešasis raktas yra saugomas toje pačioje serveryje kaip ISO ir kontrolinė suma, kaip yra kai kuriose distrosse, tai nėra pakankamas saugumo lygis.

Vis dėlto, jei bandote patikrinti PGP parašą kontrolinėje sumos byloje ir patvirtinti atsisiuntimą naudodami šią kontrolinę sumą, viskas, ką galite pagrįstai padaryti, kaip galutinį vartotoją atsisiųsti "Linux ISO".Jūs vis dar kur kas saugesni už žmones, kurie nesivargina.

Kaip patikrinti kontrolinį egzempliorių Linux

Šiame pavyzdyje mes naudosime "Linux Mint", tačiau gali tekti ieškoti "Linux" platinimo svetainėje, kad surastumėte siūlomų tikrinimo parinkčių variantus."Linux Mint" programai pateikiami du failai kartu su "ISO" atsisiuntimu savo atsisiuntimo veidrodžiuose. Atsisiųskite ISO, tada atsisiųskite "sha256sum.txt" ir "sha256sum.txt.gpg" failus į savo kompiuterį.Dešiniuoju pelės mygtuku spustelėkite failus ir pasirinkite "Save Link As", kad juos atsisiųstumėte.

"Linux" darbalaukyje atidarykite terminalo langą ir atsisiųskite PGP raktą.Šiuo atveju "Linux Mint" PGP raktas yra "Ubuntu" pagrindiniame serveryje, ir mes turime paleisti šią komandą, kad ją gautų.

gpg --keyserver hkp: / / keyserver.ubuntu.com --recv-keys 0FF405B2

Jūsų "Linux" distro svetainėje bus nukreipta į raktą, kurio jums reikia.

Dabar turime viską, ko mums reikia: ISO, kontrolinės sumos failą, kontrolinės sumos skaitmeninio parašo failą ir PGP raktą.Tada pakeiskite aplanką, į kurį jie buvo atsiųsti,. ..

cd ~ / Parsisiųsti

. .. ir paleiskite šią komandą, kad patikrintumėte kontrolinės sumos failo parašą:

gpg --verify sha256sum.txt.gpg sha256sum.txt

Jei komanda GPG leidžia jums žinoti, kad atsisiųstas failas sha256sum.txt turi "gerą parašą", galite tęsti. Ketvirtajame žemiau pateiktame paveikslėlyje esančioje eilutėje GPG praneša, kad tai yra "geras parašas", kuris teigia, kad jis yra susijęs su Klementu Lefebvre, "Linux Mint" kūrėju.

Nesijaudinkite, kad raktas nėra patvirtintas "patikimu parašu". Tai priklauso nuo to, kaip veikia PGP šifravimas. Jūs nesate sukūrę pasitikėjimo žiniatinklio, importuodami raktus iš patikimų žmonių.Ši klaida bus labai dažna.

Galiausiai, dabar, kai mes žinome, kad kontrolinė suma buvo sukurta "Linux Mint" palaikytojų, paleiskite šią komandą, kad generuotumėte kontrolinę sumą iš atsisiųsto. iso failo ir palygintumėte jį su atsisiųstos kontrolinės apimties TXT failu:

sha256sum --check sha256sum.txt

Jei pamatysite tik vieną ISO failą, pamatysite daugybę "tokių failų ar katalogų" nepateikimo, bet turėtumėte pamatyti "Išsaugoti" pranešimą apie atsisiųstą failą, jei jis atitinka kontrolinę sumą.

Jūs taip pat galite paleisti kontrolinės sumos komandas tiesiai į. iso failą.Tai išnagrinės. iso failą ir išsisukins kontrolinę sumą.Tada galite tiesiog patikrinti, ar jis atitinka galiojančią kontrolinę sumą, žiūrint į abi jūsų akis.

Pavyzdžiui, norint gauti ISO failo SHA-256 sumą:

sha256sum /path/to/ file.iso

Arba, jei turite md5sum reikšmę ir reikia gauti failo md5sum:

md5sum /path/to/ failą.iso

Palygintirezultatas su kontroliniais TXT failais, kad patikrintumėte, ar jie atitinka.

Kaip patikrinti kontrolinį egzempliorių sistemoje "Windows

" Jei atsisiųsite "Linux ISO" iš "Windows" kompiuterio, taip pat galite patvirtinti kontrolinę sumą, nors "Windows" nėra įdiegtos reikalingos programinės įrangos. Taigi, turėsite atsisiųsti ir įdiegti "open source" "Gpg4win" įrankį.

Raskite savo "Linux" distribucijos pasirašymo rakto failą ir kontrolinės sumos failus.Čia kaip pavyzdys naudojamės Fedora."Fedora" svetainė pateikia kontrolinių lėšų parsisiuntimą ir praneša mums, kad mes galime parsisiųsti Fedora pasirašymo raktą iš https: //getfedora.org/static/ fedora.gpg.

Po to, kai atsisiuntėte šiuos failus, turėsite įdiegti pasirašymo raktą naudodami "Glephatra" programą, įtrauktą į "Gpg4win".Paleiskite Kleopatra ir spustelėkite Failas & gt;Importo sertifikatai. Pasirinkite atsisiųstą. gpg failą.

Dabar galite patikrinti, ar atsisiųstos kontrolinės sumos failas buvo pasirašytas su vienu iš pagrindinių importuotų failų.Norėdami tai padaryti, spustelėkite Failas & gt;Atšaukti / patvirtinti failus. Pasirinkite atsisiųstą kontrolinės sumos failą.Išvalykite parinktį "Įvesties failas yra atskiriamas parašas" ir spustelėkite "Iššifruoti / patvirtinti".

Esate tikri, kad pamatysite klaidos pranešimą, jei tai atliksite tokiu būdu, nes jums nepavyko patvirtinti tų Fedorųsertifikatai iš tikrųjų yra teisėti. Tai sunkesnė užduotis. Tai yra būdas, kaip PGP yra sukurtas dirbti. Pavyzdžiui, jūs asmeniškai susitinkate ir keičiate raktus, kartu sudėkite pasitikėjimo žiniatinklį.Dauguma žmonių nesinaudoja tokiu būdu.

Tačiau galite peržiūrėti daugiau informacijos ir patvirtinti, kad kontrolin ÷ s bylos byla buvo pasirašyta naudojant vieną iš importuotų raktų.Bet kokiu atveju tai yra daug lengviau, nei pasikliauti atsisiųsto ISO failo be patikrinimo.

Dabar turėtumėte galimybę pasirinkti File & gt;Patikrinkite kontrolinių bylų rinkmenas ir patvirtinkite, kad informacija kontrolinėje sumos byloje atitinka atsisiųstą. iso failą.Tačiau tai mums neveikia - galbūt tai yra tai, kaip išdėstyta "Fedora" kontrolinių duomenų byla. Kai bandėme tai naudodami "Linux Mint" failą sha256sum.txt, jis padarė darbą.

Jei tai netinka jūsų pasirinktai "Linux" platinimui, čia yra apsisprendimo. Pirmiausia spustelėkite Nustatymai & gt;Konfigūruoti Kleopatra. Pasirinkite "Kripto operacijos", pasirinkite "File Operations" ir nustatykite "Kleopatra", kad naudotumėte "sha256sum" kontrolinės sumos programą, nes tai sukūrė ši konkreti kontrolinė suma. Jei turite MD5 kontrolinę sumą, sąraše pasirinkite "md5sum".

Dabar spustelėkite Failas & gt;Sukurkite kontrolinius failus ir pasirinkite atsisiųstą ISO failą.Kleopatra sukurs kontrolinį kiekį iš atsisiųsto. iso failo ir išsaugos jį į naują failą.

Jūs galite atidaryti abu šiuos failus - atsisiųstą kontrolinės sumos failą ir ką tik sugeneravote - teksto redaktoriuje, pvz., "Notepad".Patvirtinkite, kad kontrolinė suma yra identiška abiem savo akimis. Jei tai yra identiška, patvirtinote, kad atsisiųstas ISO failas nebuvo pažeistas.

Šie tikrinimo metodai iš pradžių nebuvo skirti apsaugoti nuo kenkėjiškos programinės įrangos. Jie buvo sukurti siekiant patvirtinti, kad jūsų ISO failas buvo tinkamai atsiųstas ir nebuvo sugadintas per atsisiuntimą, todėl galite jį įrašyti ir naudoti nerimą keliančiu būdu. Jie nėra visiškai nesąžiningi sprendimai, nes jūs turite pasitikėti PGP raktą, kurį atsisiųsite. Tačiau vis tiek tai užtikrina daug daugiau patikimumo negu naudojant ISO failą be jo visiško patikrinimo.

vaizdo kreditas: Eduardo Quagliato "Flickr

"