24Aug
Prejšnji mesec je bila spletna stran Linux Minta vdora in spremenjen ISO je bil pripravljen za prenos, ki je vključeval tudi backdoor. Medtem ko je bil problem hitro odpravljen, je pokazal pomen preverjanja datotek ISO ISO, ki ste jih prenesli, preden ste jih zagnali in jih namestili. Evo kako.
distribucije v Linuxu objavljajo kontrolne opombe, tako da lahko potrdite, da so datoteke, ki jih prenesete, tiste, za katere trdijo, da so, in ti so pogosto podpisani, tako da lahko preverite, ali sami kontrolni pregledi niso bili spremenjeni. To je še posebej uporabno, če prenesete ISO iz nekega drugega mesta kot zrcalo tretje osebe ali z BItTorrent, kjer je ljudem veliko lažje prepletati z datotekami.
Kako ta proces deluje
Postopek preverjanja ISO je precej zapleten, zato, preden začnemo natančne korake, natančno pojasnimo, kakšen proces ima za posledico:
- Datoteko Linux ISO boste prenesli s spletne strani distribucije Linuxa alinekje drugje - kot ponavadi.
- Naložili boste kontrolno vsoto in digitalni podpis s spletne strani distribucije Linuxa. To sta lahko dve ločeni datoteki TXT ali pa dobite eno datoteko TXT, ki vsebuje oba podatka.
- Dobili boste javni ključ PGP, ki spada v distribucijo Linuxa. To lahko dobite na spletnem mestu distribucije Linuxa ali na ločenem ključnem strežniku, ki ga upravljajo isti uporabniki, odvisno od vaše distribucije Linuxa.
- PGP ključ uporabljate za preverjanje, ali je digitalni podpis kontrolne vsote ustvarila ista oseba, ki je v tem primeru naredila ključ, vzdrževalci te distribucije Linuxa. To potrjuje, da sama kontrolna vsota ni bila spremenjena.
- Ustvarili boste kontrolno vsoto prenesene ISO datoteke in preverili, če se ujema z datoteko TXT, ki ste jo prenesli. To potrjuje, da datoteka ISO ni bila spremenjena ali poškodovana.
Postopek se lahko razlikuje za različne ISO-je, vendar običajno sledi temu splošnemu vzorcu. Na primer, obstaja več različnih vrst kontrolnih opomb. Tradicionalno so bili najbolj popularni zneski MD5.Vendar pa se s sodobnimi distribucijami Linuxa pogosteje uporabljajo vsote SHA-256, saj je SHA-256 bolj odporen na teoretične napade. Tukaj bomo predvsem razpravljali o zneskih SHA-256, čeprav bo podoben postopek deloval za zneske MD5.Nekateri distribucijski sistemi Linuxa lahko zagotovijo tudi zneske SHA-1, čeprav so to še manj pogoste.
Podobno nekateri distri ne podpišejo svojih kontrolnih kontrol s PGP.Le korake 1, 2 in 5 boste morali opraviti le, vendar je proces veliko bolj ranljiv. Navsezadnje, če lahko napadalec nadomesti datoteko ISO za prenos, lahko tudi nadomesti kontrolno vsoto.
Uporaba PGP-ja je veliko bolj varna, vendar ni varna. Napadalec bi lahko še vedno zamenjal ta javni ključ z lastnimi, lahko bi še vedno prevaral, če mislite, da je ISO legit.Če pa je javni ključ gostovan na drugem strežniku - tako kot pri Linux Mintu - to postane precej manj verjetno( ker bi morali zgubiti dva strežnika namesto samo enega).Ampak, če je javni ključ shranjen na istem strežniku kot ISO in kontrolna vsota, tako kot pri nekaterih distribucijah, potem ne ponuja toliko varnosti.
Če poskušate preveriti podpis PGP v datoteki kontrolne vsote in nato potrditi prenos s to kontrolno vsoto, je to vse, kar lahko razumno storite kot končni uporabnik, ki prenaša Linux ISO.Še vedno ste veliko bolj varni kot ljudje, ki se ne trudijo.
Kako preveriti kontrolni tok na Linuxu
Tukaj bomo uporabili Linux Mint, vendar boste morda morali poiskati spletno mesto distribucije Linuxa, da bi našli možnosti preverjanja, ki jih ponuja. Za Linux Mint sta priloženi dve datoteki skupaj z nalaganjem ISO na svojih oglednih posnetkih. Prenesite ISO in nato prenesite datoteke "sha256sum.txt" in "sha256sum.txt.gpg" na svoj računalnik. Z desno miškino tipko kliknite datoteke in izberite »Shrani povezavo kot«, da jih prenesete.
Na namizju Linux odprite terminalsko okno in prenesite ključ PGP.V tem primeru je ključ PGP Linux Mint gostovan na ključnem strežniku Ubuntu, zato ga moramo zagnati z naslednjim ukazom.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-ključi 0FF405B2Spletna stran Linuxa vas bo usmerila proti ključu, ki ga potrebujete.
Zdaj imamo vse, kar potrebujemo: ISO, datoteko kontrolne vsote, datoteko digitalnega podpisa kontrolne vsote in ključ PGP.Torej, naslednji, spremenite v mapo, ki so jo prenesli v. ..
cd ~ / Downloads. .. in zaženite naslednji ukaz, da preverite podpis datoteke za preverjanje:
gpg - preveri sha256sum.txt.gpg sha256sum.txtČe ukaz GPG veste, da ima prenesena datoteka sha256sum.txt "dober podpis", lahko nadaljujete. V četrti vrstici sličice spodaj, GPG nas obvesti, da je to "dober podpis", ki trdi, da je povezan z ustvarjalcem Linuxa Minta Clementa Lefebvra.
Ne skrbite, da ključ ni potrjen z »zaupnim podpisom«. To je zaradi načina delovanja šifriranja PGP - niste nastavili spletnega zaupanja z uvažanjem ključev od zaupanja vrednih oseb. Ta napaka bo zelo pogosta.
Nazadnje, ko smo vedeli, da je kontrolna pot ustvarila vzdrževalci Linux Mint, zaženite naslednji ukaz za ustvarjanje kontrolne vsote iz prenesene datoteke. iso in jo primerjajte s TXT datoteko, ki ste jo prenesli:
sha256sum --check sha256sum.txtČe boste prenesli samo eno datoteko ISO, boste videli veliko "nobenih takšnih datotek ali map", vendar bi morali za datoteko, ki ste jo prenesli, videti sporočilo "OK", če se bo ujemalo s kontrolno vsoto.
Z ukazi za preverjanje lahko tudi zaženete neposredno v datoteki. iso. Pregledal bo datoteko. iso in izčrpal svojo kontrolno vsoto. Nato lahko preverite, ali ustreza veljavni preskusni oceni tako, da gledate oba v oči.
Na primer, če želite dobiti SHA-256 vsoto datoteke ISO:
sha256sum /path/to/ file.isoAli, če imate vrednost md5sum in potrebujete md5sum datoteke:
md5sum /path/to/ file.isoPrimerjajrezultat s TXT datoteko kontrolne vsote, da vidim, če se ujemajo.
Kako preveriti kontrolni tok na operacijskem sistemu Windows
Če nalagate Linux ISO z operacijskega sistema Windows, lahko tudi preverite kontrolno vsoto, čeprav Windows nima potrebne vgrajene programske opreme. Torej boste morali prenesti in namestiti orodje Gpg4win z odprto kodo.
Poiščite datoteke ključnih datotek za podpisovanje in kontrolne datoteke v Linuxu. Kot primer bomo uporabili Fedora. Spletno mesto Fedora omogoča nalaganje kontrolne vsote in nam sporoči, da lahko prenesemo ključ za podpisovanje Fedore iz https: //getfedora.org/static/ fedora.gpg.
Ko ste prenesli te datoteke, morate namestiti ključ za podpisovanje s programom Kleopatra, ki je priložen Gpg4win. Zaženite Kleopatra in kliknite File & gt;Uvozna potrdila. Izberite datoteko. gpg, ki ste jo prenesli.
Sedaj lahko preverite, ali je bila prenesena preskusna datoteka podpisana z eno od ključnih datotek, ki ste jih uvažali. To storite tako, da kliknete Datoteka & gt;Dešifriraj / preveri datoteke. Izberite preneseno datoteko kontrolne vsote. Počistite potrditveno možnost »Vhodna datoteka je ločen podpis« in kliknite »Dešifriraj / potrdi«.
Preverili ste, da se prikaže sporočilo o napaki, če to storite na tak način, ker niste odpravili težav pri potrditvi tistih Fedoracertifikati so pravzaprav legitimni. To je težja naloga. To je način, na katerega je PGP zasnovan za delo - na primer srečate in izmenjujete ključe ter skupaj sestavite splet zaupanja. Večina ljudi tega ne uporablja.
Vendar si lahko ogledate več podrobnosti in potrdite, da je bila datoteka za nadzorno vsoto podpisana z enim od ključev, ki ste jih uvažali. To je veliko bolje kot zaupanje v preneseno datoteko ISO brez preverjanja.
Sedaj bi morali izbrati File & gt;Preverite datoteke preverjanja in potrdite, da se podatki v datoteki kontrolne vsote ujemajo s preneseno datoteko. iso. Vendar to ni delovalo za nas - morda je to le način, na katerega je določena datoteka Fedoraove kontrolne vsote. Ko smo to preizkusili s datoteko sha256sum.txt Linux Minta, je to delovalo.
Če to ne deluje za vašo distribucijo Linuxa po izbiri, tukaj je rešitev. Najprej kliknite Nastavitve & gt;Konfigurirajte Kleopatra. Izberite "Crypto Operations", izberite "File Operations" in nastavite Kleopatra za uporabo kontrolnega programa "sha256sum", saj je bila ta posebna kontrolna vsota ustvarjena.Če imate kontrolno vsoto MD5, na seznamu izberite »md5sum«.
Zdaj kliknite Datoteka & gt;Ustvarite Checksum datoteke in izberite preneseno ISO datoteko. Kleopatra bo ustvarila kontrolno vsoto iz prenesene datoteke. iso in jo shranila v novo datoteko.
Odprite obe datoteki - preneseno datoteko kontrolne vsote in tistega, ki ste ga pravkar ustvarili - v urejevalniku besedil, kot je Notepad. Potrdite, da je kontrolna vsota v vaših očeh enaka.Če je enaka, ste potrdili, da prenesena datoteka ISO ni bila spremenjena.
Te metode preverjanja prvotno niso bile namenjene zaščiti pred zlonamerno programsko opremo. Namenjeni so bili, da potrdijo, da je bila datoteka ISO prenesena pravilno in ni bila poškodovana med prenosom, zato jo lahko spali in uporabljate brez skrbi. Niso popolnoma varna rešitev, saj morate zaupati ključu PGP, ki ga prenesete. Vendar to še vedno zagotavlja veliko več zagotovil, kot je samo uporaba datoteke ISO, ne da bi jo sploh preverjali.
Image Credit: Eduardo Quagliato na Flickr