24Aug
Pagājušajā mēnesī tika uzlauzta Linux Mint tīmekļa vietne, un tika lejupielādēts modificēts ISO, kas ietvēra backdoor. Lai gan problēma tika ātri novērsta, tas parāda, cik svarīgi ir pārbaudīt lejupielādētos Linux ISO failus, pirms tos palaižat un instalējat. Lūk, kā.
Linux distribūcijas publicē kontrolsummas, lai jūs varētu apstiprināt, ka lejupielādētie faili ir tie, uz kuriem viņi apgalvo, ka tie bieži tiek parakstīti, lai jūs varētu pārbaudīt, vai kontrolsummas pašas nav ietekmētas. Tas ir īpaši noderīgi, ja jūs lejupielādējat ISO no vietas, kas nav galvenā vietne, piemēram, trešās puses spogulis, vai izmantojot BItTorrent, kur cilvēkiem ir daudz vieglāk manipulēt ar failiem.
Kā šis process darbojas
ISO pārbaudes process ir mazliet sarežģīts. Tātad, pirms mēs nokļūstam precīzās darbības, precīzi paskaidrosim, ar ko notiek process:
- Jūs lejupielādēsit Linux ISO failu no Linux izplatīšanas vietnes-vaikaut kur citur, kā parasti.
- Jūs lejupielādēsiet kontrolsummu un tā ciparparakstu no Linux izplatīšanas vietnes. Tie var būt divi atsevišķi TXT faili, vai arī jūs varat saņemt vienu TXT failu, kurā ir abi dati.
- Jūs saņemsit publisku PGP atslēgu, kas pieder Linux izplatīšanai. Jūs to varat iegūt no Linux izplatīšanas vietnes vai no atsevišķa galvenā servera, ko pārvalda tie paši cilvēki atkarībā no jūsu Linux izplatīšanas.
- Jūs izmantosiet PGP atslēgu, lai pārbaudītu, vai kontrolsummas ciparparakstu izveidoja tā pati persona, kas šajā gadījumā izveidojusi "Linux" izplatīšanas uzturētājus. Tas apstiprina, ka pati kontrolsumma nav mainīta.
- Jūs ģenerēsiet lejupielādētās ISO faila kontrolsummu un pārbaudiet, vai tas atbilst kontrolsummas TXT failam, kuru esat lejupielādējis. Tas apstiprina, ka ISO fails nav bojāts vai bojāts.
Process var atšķirties mazliet dažādiem ISO, taču parasti tas izriet no vispārējā modeļa. Piemēram, ir vairāki dažādu veidu kontrolsummas. Tradicionāli MD5 summas ir bijis populārākais. Tomēr SHA-256 summas tagad biežāk tiek izmantotas mūsdienu Linux sadalījumos, jo SHA-256 ir izturīgāks pret teorētiskiem uzbrukumiem. Mēs galvenokārt apspriedīsim SHA-256 summas, lai gan līdzīgs process darbosies ar MD5 summām. Daži Linux diski var arī nodrošināt SHA-1 summas, lai gan tie ir vēl retāk.
Tāpat daži distros neparaksta kontrolsummas ar PGP.Jums būs jāveic tikai 1., 2. un 5. darbība, taču process ir daudz neaizsargātāks. Galu galā, ja uzbrucējs var aizstāt ISO failu lejupielādei, tie arī var aizstāt kontrolsummu.
PGP izmantošana ir daudz drošāka, bet ne droša. Uzbrucējs vēl aizvien varētu aizstāt šo publisko atslēgu ar saviem, viņi vēl joprojām varētu ļaunprātīgi domāt, ka ISO ir legit. Tomēr, ja publiskā atslēga tiek mitināta citā serverī, tāpat kā gadījumā ar Linux Mint, tas kļūst daudz mazāk ticams( jo viņiem vajadzētu būt tikai diviem serveriem, nevis tikai vienam).Bet, ja publiskā atslēga tajā pašā serverī tiek saglabāta kā ISO un kontrolsumma, tāpat kā dažu distrotu gadījumā, tā nesniedz tik daudz drošības.
Tomēr, ja mēģināsit pārbaudīt PGP parakstu kontrolsummas failā un pēc tam validēt savu lejupielādi ar šo kontrolsummu, tas ir viss, ko jūs pamatoti varat darīt, kad gala lietotājs lejupielādē Linux ISO.Jūs joprojām esat daudz drošāks nekā cilvēki, kas neuztraucas.
Kā pārbaudīt čeku par Linux
Mēs izmantosim Linux Mint kā piemēru, taču jums var nākties meklēt jūsu Linux izplatīšanas vietnē, lai atrastu piedāvātās pārbaudes opcijas. Attiecībā uz Linux Mint divos failos tiek piedāvāti kopā ar lejupielādes spoguļu ISO lejupielādi. Lejupielādējiet ISO un pēc tam lejupielādējiet datorā "sha256sum.txt" un "sha256sum.txt.gpg" failus. Ar peles labo pogu noklikšķiniet uz failiem un atlasiet "Saglabāt saiti kā", lai tos lejupielādētu.
Savā Linux darbvirsmā atveriet termināla logu un lejupielādējiet PGP taustiņu.Šajā gadījumā Linux Mint PGP atslēga ir izvietota Ubuntu galvenajā serverī, un, lai to iegūtu, mums jāstrādā ar šādu komandu.
gpg --keyserver hkp: / / keyserver.ubuntu.com --recv-atslēgas 0FF405B2Jūsu Linux distribūcijas vietne norāda uz nepieciešamo atslēgu.
Tagad mums ir viss, kas mums nepieciešams: ISO, kontrolsummas fails, kontrolsummas digitālā paraksta fails un PGP atslēga. Tātad, pāriet uz mapi, kuru viņi lejupielādēja. ..
cd ~ / Lejupielādē. .. un izpildiet šādu komandu, lai pārbaudītu kontrolsummas faila parakstu:
gpg --verify sha256sum.txt.gpg sha256sum.txtJa komanda GPG ļauj jums uzzināt, ka lejupielādētais sha256sum.txt fails ir "labs paraksts", jūs varat turpināt. Zemāk redzamajā ekrānuzņēmuma ceturtajā rindiņā GPG informē mūs, ka tas ir "labs paraksts", kas apgalvo, ka tas ir saistīts ar Klementa Lefebvra, Linux Mint veidotāju.
Neuztraucieties, ka atslēga nav sertificēta ar "uzticamu parakstu." Tas ir tādēļ, ka darbojas PGP šifrēšana. Jūs neesat iestatījis uzticības tīklu, importējot atslēgas no uzticamiem cilvēkiem.Šī kļūda būs ļoti izplatīta.
Visbeidzot, tagad, kad mēs zinām, ka kontrolsumma tika izveidota ar Linux Mint uzturētāju, palaidiet šādu komandu, lai ģenerētu kontrolsummu no lejupielādētā. iso faila un salīdzinātu to ar lejupielādēto TXT faila kontrolsummas failu:
sha256sum --check sha256sum.txtJa tiktu lejupielādēts tikai viens ISO fails, jūs redzēsiet daudzus "neesat šādu failu vai direktoriju" ziņojumus, taču jums vajadzētu redzēt "OK" ziņojumu par failu, kuru esat lejupielādējis, ja tas atbilst kontrolsummai.
Jūs varat arī palaist kontrolsumma komandas tieši uz. iso failu. Tas izpētīs. iso failu un izslēgs kontrolsummu. Pēc tam varat vienkārši pārbaudīt, vai tas atbilst derīgajai kontrolsummai, aplūkojot abas savas acis.
Piemēram, lai iegūtu ISO faila SHA-256 summu:
sha256sum /path/to/ file.isoVai arī, ja jums ir md5sum vērtība un ir nepieciešams iegūt faila md5sum:
md5sum /path/to/ file.isoSalīdzinietrezultāts ar kontrolsummas TXT failu, lai redzētu, vai tie atbilst.
Kā pārbaudīt kontrolcilni operētājsistēmā Windows
Ja lejupielādējat Linux ISO no Windows datora, varat arī verificēt kontrolsummu, lai gan operētājsistēmai Windows nav iebūvēta nepieciešamā programmatūra. Tātad, jums būs nepieciešams lejupielādēt un instalēt atvērtā koda Gpg4win rīku.
Atrodiet savu Linux distro parakstīšanas atslēgas failu un kontrolsummas failus. Piemērs šeit mēs izmantosim Fedora. Fedora vietne nodrošina kontrolsummu lejupielādi un informē, ka mēs varam lejupielādēt Fedora parakstīšanas atslēgu no https: //getfedora.org/static/ fedora.gpg.
Kad esat lejupielādējis šos failus, jums būs jāinstalē paraksta atslēga, izmantojot Gpg4win iekļauto Kleopatra programmu. Uzsāciet Kleopatra un noklikšķiniet uz File & gt;Importa sertifikāti. Atlasiet. gpg failu, kuru esat lejupielādējis.
Tagad varat pārbaudīt, vai lejupielādētā kontrolsumma tika parakstīta ar vienu no importētajiem galvenajiem failiem. Lai to izdarītu, noklikšķiniet uz Faili & gt;Atšifrēt / pārbaudīt failus. Atlasiet lejupielādēto kontrolsummas failu. Noņemiet atzīmi no opcijas "Ievades fails ir atdalīts paraksts" un noklikšķiniet uz "Atšifrēt / pārbaudīt".
Jūs pārliecinieties, ka redzējāt kļūdas ziņojumu, ja to izdarāt šādā veidā, jo jums nav bijušas problēmas apstiprināt šīs Fedorasertifikāti faktiski ir likumīgi. Tas ir grūts uzdevums. Tas ir veids, kā PGP ir izstrādāts, lai strādātu - jūs, piemēram, personīgi satiktu un mainītu atslēgas, un izveidojat uzticības tīklu. Lielākā daļa cilvēku to neizmanto šādā veidā.
Tomēr jūs varat apskatīt sīkāku informāciju un apstiprināt, ka kontrolsummas fails ir parakstīts ar vienu no importētajiem taustiņiem. Jebkurā gadījumā tas ir daudz labāks nekā tikai uzticama lejupielādētā ISO faila pārbaude bez pārbaudīšanas.
Tagad jums vajadzētu būt iespējai izvēlēties failu & gt;Pārbaudiet kontrolsummas failus un apstipriniet, ka kontrolsummas failā esošā informācija atbilst lejupielādētajam. iso failam. Tomēr tas mums nedarbojās, varbūt tas ir tikai veids, kā tiek noteikts Fedora kontrolsummas fails. Kad mēs to izmēģinājām ar Linux Mint sha256sum.txt failu, tā strādāja.
Ja tas nedarbojas jūsu Linux izplatīšanai pēc izvēles, šeit ir risinājums. Vispirms noklikšķiniet uz Iestatījumi & gt;Konfigurēt Kleopatru. Atlasiet "Kriptogrāfijas operācijas", izvēlieties "File Operations" un iestatiet Kleopatra, lai izmantotu "sha256sum" kontrolsummas programmu, jo tas ir tas, ko iegūst ar šo konkrēto kontrolsummu. Ja jums ir MD5 kontrolsumma, šeit sarakstā izvēlieties "md5sum".
Tagad noklikšķiniet uz Faili & gt;Izveidojiet kontrolsarakstus un atlasiet lejupielādēto ISO failu. Kleopatra ģenerēs kontrolsummu no lejupielādētā. iso faila un saglabās to jaunā failā.
Jūs varat atvērt abus šos failus - lejupielādēto kontrolsummas failu un vienu, ko tikko radījāt - teksta redaktorā, piemēram, Notepad. Apstipriniet, ka kontrolsumma ir vienāda gan ar savām acīm. Ja tas ir identisks, jūs esat apstiprinājis, ka lejupielādētais ISO fails nav ticis manipulēts.
Šīs pārbaudes metodes sākotnēji nebija paredzētas aizsardzībai pret ļaunprātīgu programmatūru. Tie tika izveidoti, lai apstiprinātu, ka jūsu ISO fails ir pareizi lejupielādēts un nav lejupielādes laikā bojāts, tāpēc jūs varat to sadedzināt un izmantot, neraizējoties. Viņi nav pilnīgi droši risinājumi, jo jums ir jāuzticas lejupielādētajai PGP atslēgai. Tomēr tas joprojām nodrošina daudz lielāku ticamību nekā vienkārši izmantojot ISO failu, to vispār nekontrolējot.
attēla kredīts: Eduardo Quagliato par Flickr