24Aug
I forrige måned ble Linux Mints nettsted hacket, og en endret ISO ble lagt ned for nedlasting som inkluderte en bakdør. Mens problemet ble løst raskt, demonstrerer det viktigheten av å sjekke Linux ISO-filer du laster ned før du kjører og installerer dem. Dette er hvordan.
Linux distribusjoner publiserer sjekksummer slik at du kan bekrefte at filene du laster ned er hva de hevder å være, og disse blir ofte signert, slik at du kan bekrefte sjekksummene selv ikke har blitt manipulert med. Dette er spesielt nyttig hvis du laster ned en ISO fra et annet sted enn det viktigste nettstedet, som et tredjeparts speil, eller gjennom BItTorrent, der det er mye lettere for folk å tukle med filer.
Hvordan denne prosessen fungerer
Prosessen med å sjekke en ISO er litt kompleks, så før vi kommer inn i de nøyaktige trinnene, la oss forklare nøyaktig hva prosessen medfører:
- Du laster ned Linux ISO-filen fra Linux-distribusjonens nettside elleret annet sted som vanlig.
- Du laster ned et sjekksum og dets digitale signatur fra Linux-distribusjonens nettsted. Disse kan være to separate TXT-filer, eller du kan få en enkelt TXT-fil som inneholder begge deler data.
- Du får en offentlig PGP-nøkkel som tilhører Linux-distribusjonen. Du kan få dette fra Linux-distribusjonens nettside eller en egen nøkkelserver administrert av de samme personene, avhengig av Linux-distribusjonen din.
- Du bruker PGP-tasten for å verifisere at sjekksummenes digitale signatur ble opprettet av samme person som gjorde nøkkelen, i dette tilfellet, som vedlikeholderne av den Linux-distribusjonen. Dette bekrefter at sjekksummen selv ikke har blitt manipulert med.
- Du genererer kontrollsummen for den nedlastede ISO-filen din, og bekrefter at den samsvarer med sjekksummen TXT-filen du lastet ned. Dette bekrefter at ISO-filen ikke har blitt manipulert eller ødelagt.
Prosessen kan variere litt for forskjellige ISO-er, men det følger vanligvis det generelle mønsteret. For eksempel er det flere forskjellige typer kontrollsummer. Tradisjonelt har MD5 summer vært den mest populære. SHA-256-summene brukes nå oftere av moderne Linux-distribusjoner, da SHA-256 er mer motstandsdyktig mot teoretiske angrep. Vi diskuterer hovedsakelig SHA-256 summer her, selv om en lignende prosess vil fungere for MD5-beløp. Noen Linux distros kan også gi SHA-1 summer, selv om disse er enda mindre vanlige.
På samme måte skriver noen distroer ikke sine kontrollsummer med PGP.Du trenger bare å utføre trinn 1, 2 og 5, men prosessen er mye mer sårbar. Tross alt, hvis angriperen kan erstatte ISO-filen for nedlasting, kan de også erstatte kontrollsummen.
Bruk av PGP er mye sikrere, men ikke idiotsikkert. Angriperen kan fortsatt erstatte den offentlige nøkkelen med sine egne, de kan fortsatt lure deg til å tro at ISO er legitim. Men hvis den offentlige nøkkelen er vert på en annen server, slik det er tilfelle med Linux Mint, blir dette langt mindre sannsynlig( siden de måtte hacke to servere i stedet for bare en).Men hvis den offentlige nøkkelen lagres på samme server som ISO og kontrollsummen, som det er tilfelle med noen distroer, gir den ikke så mye sikkerhet.
Likevel, hvis du forsøker å verifisere PGP-signaturen på en sjekksumfil og deretter validere nedlastingen med det sjekksummen, er det alt du kan med rimelighet gjøre som sluttbruker laster ned en Linux ISO.Du er fortsatt mye sikrere enn folkene som ikke bryr seg.
Slik kontrollerer du et kontrollsum på Linux
Vi bruker Linux Mint som et eksempel her, men du må kanskje søke på Linux-distribusjonens nettsted for å finne bekreftelsesalternativene den tilbyr. For Linux Mint, leveres to filer sammen med ISO-nedlastingen på nedlastingsspeilene. Last ned ISO, og last ned deretter "sha256sum.txt" og "sha256sum.txt.gpg" -filene til datamaskinen din. Høyreklikk filene og velg "Lagre lenke som" for å laste dem ned.
På ditt Linux-skrivebord åpner du et terminalvindu og laster ned PGP-nøkkelen. I dette tilfellet er Linux Mints PGP-nøkkel vert på Ubuntu's nøkkelserver, og vi må kjøre følgende kommando for å få det.
gpg - keyserver hkp: //keyserver.ubuntu.com --recv-nøkler 0FF405B2Din Linux distros nettsted vil peke deg mot nøkkelen du trenger.
Vi har nå alt vi trenger: ISO, sjekksumfilen, sjekksummenes digitale signaturfil og PGP-nøkkelen. Så, bytt til mappen de ble lastet ned til. ..
cd ~ / Nedlastinger. .. og kjør følgende kommando for å sjekke signaturen til checksumfilen:
gpg - verifisere sha256sum.txt.gpg sha256sum.txtHvis GPG-kommandoen lar deg vite at den nedlastede filen sha256sum.txt har en "god signatur", kan du fortsette. I den fjerde linjen av skjermbildet nedenfor, informerer GPG oss om at dette er en "god signatur" som hevder å være knyttet til Clement Lefebvre, Linux Mint's creator.
Ikke bekymre deg for at nøkkelen ikke er sertifisert med en "klarert signatur". Dette skyldes måten PGP-kryptering fungerer på. Du har ikke opprettet et nett av tillit ved å importere nøkler fra pålitelige personer. Denne feilen vil bli veldig vanlig.
Til slutt, nå at vi kjenner sjekksummen, ble opprettet av Linux Mint-vedlikeholdsholdere, kjør følgende kommando for å generere et sjekksum fra den nedlastede. iso-filen og sammenligne den med sjekksum TXT-filen du lastet ned:
sha256sum --check sha256sum.txtDu vil se mange "ikke slike filer eller mapper" meldinger hvis du bare lastet ned en enkelt ISO-fil, men du bør se en "OK" melding for filen du lastet ned hvis den samsvarer med sjekksummen.
Du kan også kjøre kontrollsommekommandoer direkte på en. iso-fil. Det vil undersøke. iso-filen og spytte ut sjekksummen. Du kan da bare sjekke det samsvarer med det gyldige kontrollsummen ved å se på begge med øynene dine.
For eksempel, for å få SHA-256 summen av en ISO-fil:
sha256sum /path/to/ file.isoEller, hvis du har en md5sum-verdi og trenger å få md5sum av en fil:
md5sum /path/to/ file.isoSammenlignResultat med sjekksum TXT-filen for å se om de samsvarer.
Slik kontrollerer du et sjekksum på Windows
Hvis du laster ned en Linux ISO fra en Windows-maskin, kan du også kontrollere kontrollsummen der, men Windows har ikke den nødvendige programvaren innebygd. Så, du må laste ned og installere Gpg4win-verktøyet med åpen kildekode.
Finn Linux Distros signeringsnøkkelfil og sjekksumfiler. Vi bruker Fedora som et eksempel her. Fedoras nettsted gir sjekksumnedlastinger og forteller oss at vi kan laste ned Fedora signeringsnøkkelen fra https: //getfedora.org/static/ fedora.gpg.
Etter at du har lastet ned disse filene, må du installere signeringsnøkkelen ved hjelp av Kleopatra-programmet som følger med Gpg4win. Start Kleopatra, og klikk Fil & gt;Import sertifikater. Velg. gpg-filen du lastet ned.
Du kan nå sjekke om den nedlastede kontrollsumfilen ble signert med en av nøkkelfiler du importerte. For å gjøre det, klikk Fil & gt;Dekrypter / verifiser filer. Velg den nedlastede sjekksumfilen. Fjern merket for "Inngangsfilen er en frittstående signatur" og klikk på "Dekrypter / verifiser."
Du er sikker på å se en feilmelding hvis du gjør det på denne måten, siden du ikke har gått gjennom problemer med å bekrefte Fedorasertifikater er faktisk legitime. Det er en vanskeligere oppgave. Dette er måten PGP er utformet for å jobbe - du møter og bytter nøkler i person, for eksempel, og binder sammen en nettside av tillit. De fleste bruker ikke den på denne måten.
Du kan imidlertid se flere detaljer og bekrefte at sjekksumfilen ble signert med en av tastene du importerte. Dette er mye bedre enn å stole på en nedlastet ISO-fil uten å sjekke, uansett.
Du bør nå kunne velge File & gt;Bekreft sjekksumfiler og bekreft at informasjonen i sjekksumfilen samsvarer med den nedlastede. iso-filen. Dette virket imidlertid ikke for oss - kanskje er det bare Fedors sjekksumfil er lagt ut. Da vi prøvde dette med Linux Mint's sha256sum.txt-fil, virket det.
Hvis dette ikke fungerer for Linux-distribusjonen din, er det en løsning. Klikk først på Innstillinger og gt;Konfigurer Kleopatra. Velg "Crypto Operations", velg "File Operations," og sett Kleopatra for å bruke "sha256sum" checksum programmet, som det er hva dette sjekksummet ble generert med. Hvis du har et MD5 sjekksum, velger du "md5sum" i listen her.
Klikk nå Fil & gt;Lag kontrollsumfiler og velg din nedlastede ISO-fil. Kleopatra vil generere et checksum fra den nedlastede. iso-filen og lagre den til en ny fil.
Du kan åpne begge disse filene - den nedlastede kontrollsumfilen og den du nettopp har generert - i et tekstredigeringsprogram som Notisblokk. Bekreft sjekksummen er identisk både med dine egne øyne. Hvis det er identisk, har du bekreftet at den nedlastede ISO-filen din ikke har blitt manipulert.
Disse verifikasjonsmetodene var ikke opprinnelig beregnet for å beskytte mot skadelig programvare. De ble designet for å bekrefte at ISO-filen din ble lastet ned riktig og ikke skadet under nedlastingen, slik at du kunne brenne og bruke den uten å bekymre deg. De er ikke en helt idiotsikker løsning, siden du må stole på PGP-nøkkelen du laster ned. Dette gir imidlertid fortsatt mye mer sikkerhet enn bare å bruke en ISO-fil uten å sjekke det i det hele tatt.
Image Credit: Eduardo Quagliato på Flickr