24Aug
Minulý mesiac bola webová stránka Linux Mint napadnutá a modifikovaný ISO bol uvedený na prevzatie, ktorý obsahoval zadnú časť.Zatiaľ čo problém bol opravený rýchlo, ukazuje dôležitosť kontroly Linux súborov ISO, ktoré si stiahnete pred spustením a inštaláciou. Tu je návod.
distribúcie Linux publikujú kontrolné súčty, aby ste mohli potvrdiť, že súbory, ktoré si stiahnete, sú to, čo tvrdia, že sú, a tieto sú často podpísané, aby ste si mohli overiť, či kontrolné súčty sami neboli poškodené.To je obzvlášť užitočné, ak si stiahnete ISO niekde inde, ako je hlavné zrkadlo tretej strany, alebo cez BItTorrent, kde je pre používateľov oveľa jednoduchšie manipulovať so súbormi.
Ako tento proces funguje
Proces kontroly ISO je trochu zložitý, takže predtým, než sa dostaneme do presných krokov, vysvetlíme, čo presne to znamená:
- Stiahnete si súbor Linux ISO z webovej lokality distribúcie Linuxu, aleboniekde inde - ako obvykle.
- Kontrolný súčet a jeho digitálny podpis si stiahnete z webovej lokality distribúcie Linuxu. Môžu to byť dva samostatné súbory TXT, alebo môžete získať jeden súbor TXT obsahujúci oba súbory údajov.
- Budete mať verejné kľúč PGP patriace do distribúcie Linuxu. Môžete to získať z webovej lokality distribúcie Linuxu alebo oddeleného kľúčového servera spravovaného tým istými ľuďmi v závislosti od distribúcie Linuxu.
- Použite kľúč PGP na overenie toho, že digitálny podpis kontrolného súčtu bol vytvorený tou istou osobou, ktorá v tomto prípade urobila kľúč, správcovia tejto distribúcie Linuxu. To potvrdzuje, že samotný kontrolný súčet nebol ovplyvnený.
- Vygenerujete kontrolný súčet prevzatého súboru ISO a skontrolujte, či zodpovedá kontrolnému súčtu súboru TXT, ktorý ste prevzali. To potvrdzuje, že súbor ISO nebol poškodený alebo poškodený.
Proces môže byť trochu odlišný pre rôzne ISO, ale zvyčajne to vyplýva z celkového vzoru. Napríklad existuje niekoľko rôznych typov kontrolných súčtov. Tradične sú sumy MD5 najpopulárnejšie. Sumy SHA-256 sú však častejšie využívané modernými distribúciami Linuxu, pretože SHA-256 je odolnejší voči teoretickým útokom. Predovšetkým budeme diskutovať sumy SHA-256, aj keď podobný proces bude pracovať pre sumy MD5.Niektoré distribučné systémy Linuxu môžu tiež poskytovať sumy SHA-1, aj keď sú to ešte menej bežné.
Podobne niektoré distribučné súbory nepodpisujú svoj kontrolný súčet s PGP.Stačí vykonať kroky 1, 2 a 5, ale proces je oveľa zraniteľnejší.Koniec koncov, ak môže útočník nahradiť súbor ISO na stiahnutie, môže nahradiť aj kontrolný súčet.
Použitie PGP je oveľa bezpečnejšie, ale nie bezpečné.Útočník by naďalej mohol nahradiť tento verejný kľúč svojím vlastným, mohli by vás stále podviesť do myslenia, že ISO je legitímna. Ak je však verejný kľúč hosťovaný na inom serveri - ako je to v prípade Linux Mint - je to oveľa menej pravdepodobné( pretože by museli naraziť na dva servery namiesto jedného).Ale ak je verejný kľúč uložený na rovnakom serveri ako ISO a kontrolný súčet, ako je to v prípade niektorých distribútorov, neponúka toľko bezpečnosti.
Napriek tomu, ak sa pokúšate overiť podpis PGP v súbore kontrolného súčtu a potom potvrdiť sťahovanie pomocou kontrolného súčtu, to je všetko, čo môžete rozumne urobiť ako koncový používateľ sťahujúci si ISO linux. Ste stále oveľa bezpečnejší ako ľudia, ktorí sa neobťažujú.
Ako overiť kontrolný súčet na systéme Linux
Ako príklad použijeme linuxovú mincovňu, ale možno budete musieť vyhľadávať na webovej lokalite distribúcie Linuxu a nájsť možnosti verifikácie, ktoré ponúka. Pre Linux Mint sú k dispozícii dva súbory spolu s downloadom ISO na zrkadlách na stiahnutie. Prevezmite ISO a potom stiahnite súbory "sha256sum.txt" a "sha256sum.txt.gpg" do vášho počítača. Kliknite pravým tlačidlom myši na súbory a vyberte "Uložiť odkaz ako" a stiahnite si ich.
Na pracovnej ploche systému Linux otvorte okno terminálu a prevezmite kľúč PGP.V tomto prípade je kľúčový server PGP Linux Mint umiestnený na kľúčovom serveri Ubuntu a musíme ho spustiť nasledovným príkazom.
gpg - kľúčové slová hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Webová stránka vášho distribútora Linuxu vás nasmeruje smerom k kľúču, ktorý potrebujete.
Teraz máme všetko, čo potrebujeme: ISO, súbor kontrolného súčtu, súbor digitálneho podpisu kontrolného súčtu a kľúč PGP.Takže potom prejdite na priečinok, do ktorého boli stiahnuté. ..
cd ~ / Downloads. .. a spustite nasledujúci príkaz na kontrolu podpisu súboru kontrolného súčtu:
gpg - verify sha256sum.txt.gpg sha256sum.txtAk príkaz GPG umožňuje vedieť, že stiahnutý súbor sha256sum.txt má "dobrý podpis", môžete pokračovať.V štvrtom riadku obrazovky nižšie nám GPG informuje, že ide o "dobrý podpis", ktorý tvrdí, že je spojený s tvorcom spoločnosti Clement Lefebvre, Linuxom.
Nebojte sa, že kľúč nie je certifikovaný s "dôveryhodným podpisom". Je to spôsobené tým, ako šifrovanie PGP funguje - nenastavili ste sieť dôvery importovaním kľúčov od dôveryhodných ľudí.Táto chyba bude veľmi častá.
Nakoniec, keď vieme, že kontrolný súčet vytvorili správcovia Linuxu Mint, spustite nasledujúci príkaz na vygenerovanie kontrolného súčtu zo stiahnutého súboru. iso a porovnajte ho s kontrolným súčtom súboru TXT, ktorý ste stiahli:
sha256sum - check sha256sum.txtV prípade, že ste stiahli iba jeden súbor ISO, uvidíte veľa správ "bez súboru alebo adresára", ale pre súbor, ktorý ste stiahli, by sa mala zobraziť správa "OK", ak sa zhoduje s kontrolným súčtom.
Príkazy kontrolného súčtu môžete spustiť aj priamo v súbore. iso. Bude preskúmať súbor. iso a vyplieniť jeho kontrolný súčet. Potom môžete jednoducho skontrolovať, či sa zhoduje s platným kontrolným súčtom tým, že sa pozriete na obidve oči.
Napríklad, ak chcete získať sumu SHA-256 súboru ISO:
sha256sum /path/to/ file.isoAlebo ak máte hodnotu md5sum a potrebujete získať md5sum súboru:
md5sum /path/to/ file.isoPorovnaťskontrolujte súbor TXT kontrolného súčtu a zistite, či sa zhodujú.
Ako overiť kontrolný súčet na systéme Windows
Ak sťahujete systém Linux ISO z počítača so systémom Windows, môžete overiť aj kontrolný súčet v systéme Windows - aj keď systém Windows nemá potrebný softvér vstavaný.Takže budete musieť stiahnuť a nainštalovať nástroj open source Gpg4win.
Nájdite súbory podpisového kľúča distribučného systému Linux a súbory kontrolného súčtu. Ako príklad použijeme Fedoru. Webová stránka spoločnosti Fedora poskytuje sťahovanie kontrolného súčtu a hovorí, že môžeme stiahnuť kľúč na podpis Fedora z adresy https: //getfedora.org/static/ fedora.gpg.
Po stiahnutí týchto súborov budete musieť nainštalovať podpisový kľúč pomocou programu Kleopatra, ktorý je súčasťou programu Gpg4win. Spustite nástroj Kleopatra a kliknite na položku Súbor & gt;Import certifikátov. Vyberte súbor. gpg, ktorý ste stiahli.
Teraz môžete skontrolovať, či bol stiahnutý súbor kontrolného súčtu podpísaný s jedným z importovaných kľúčových súborov. Ak to chcete urobiť, kliknite na položku Súbor & gt;Dešifrovať / overiť súbory. Vyberte súbor s kontrolným súčtom. Zrušte začiarknutie možnosti "Vstupný súbor je oddelený podpis" a kliknite na tlačidlo "Dešifrovať / overiť".
Ste si istý, že sa vám zobrazí chybové hlásenie, ak to urobíte týmto spôsobom, pretože ste neprešli problémom s potvrdením týchto Fedorcertifikáty sú skutočne legitímne. To je náročnejšia úloha. Takto je PGP navrhnutý tak, aby fungoval, napríklad stretnete a vymieňate si kľúče osobne a vytvoríte si spolu dôveru. Väčšina ľudí ho nepoužíva týmto spôsobom.
Môžete však zobraziť ďalšie podrobnosti a potvrdiť, že súbor s kontrolným súčtom bol podpísaný s jedným z importovaných kľúčov. Je to oveľa lepšie, ako dôverovať prevzatému súboru ISO bez kontroly.
Teraz by ste mali mať možnosť vybrať súbor & gt;Overte súbory kontrolného súčtu a potvrďte, že informácie v súbore kontrolného súčtu zodpovedajú stiahnutému súboru. iso. Pre nás to však nefungovalo - možno je to len spôsob, akým je súbor Fedora vytvorený.Keď sme to skúsili so súborom sha256sum.txt Linux Mint, fungovalo to.
Ak to nefunguje pre vašu distribúciu Linuxu, je tu riešenie. Najskôr kliknite na položku Nastavenia & gt;Konfigurujte Kleopatru. Zvoľte "Crypto Operations", zvoľte "File Operations" a nastavte Kleopatru, aby ste použili kontrolný súčet "sha256sum", pretože práve s tým vznikol tento kontrolný súčet. Ak máte kontrolný súčet MD5, v tomto zozname zvoľte "md5sum".
Teraz kliknite na položku Súbor & gt;Vytvorte súbory kontrolného súčtu a vyberte si stiahnutý súbor ISO.Kleopatra vygeneruje kontrolný súčet zo stiahnutého súboru. iso a uloží ho do nového súboru.
Môžete otvoriť oba tieto súbory - prevzatý súbor kontrolného súčtu a súbor, ktorý ste práve vygenerovali - v textovom editore, ako je Poznámkový blok. Potvrďte, že kontrolný súčet je rovnaký ako s vašimi vlastnými očami. Ak je totožná, potvrdili ste, že váš stiahnutý súbor ISO nebol manipulovaný.
Tieto metódy overovania neboli pôvodne určené na ochranu pred škodlivým softvérom. Boli určené na to, aby potvrdili správne prevzatie súboru ISO a počas preberania neboli poškodené, takže ho môžete vypáliť a používať bez obáv. Nie sú úplne bezpečné riešenie, pretože musíte dôverovať kľúči PGP, ktorý si stiahnete. To však stále poskytuje oveľa väčšiu istotu, ako len použitie súboru ISO bez toho, aby ste ho skontrolovali vôbec. Obrázok
: Eduardo Quagliato na Flickr