24Aug
Прошлог месеца, веб локација Линук Минт-а је била хакирана, а модификовани ИСО је постављен за преузимање који је укључивао бацач.Иако је проблем брзо поправљен, он показује важност провере Линук ИСО датотека које преузмете пре него што их покренете и инсталирате их.Ево како.
дистрибуције Линука објављују контролне суме тако да можете потврдити да су датотеке које преузимате оно што они тврде да су често потписане, тако да можете проверити да сами контролни пакети нису били кориговани.Ово је нарочито корисно ако преузмете ИСО од нечега другог осим главног сајта - као огледало треће стране или путем БИтТоррент-а, где је људима много лакше да се измијесте са датотекама.
Како овај процес функционише
Процес провере ИСО-а је мало сложен, па прије него што упаднемо у тачне кораке, објаснимо тачно шта процес подразумева:
- Преузмите датотеку Линук ИСО са веб локације дистрибуције Линук-а илинегде другде - као и обично.
- Преузмите преузету контролну тачку и његов дигитални потпис са веб локације дистрибуције Линука.То могу бити две засебне ТКСТ датотеке, или можете добити једну ТКСТ датотеку која садржи оба податка.
- Добићете јавни ПГП кључ који припада дистрибуцији Линука.То можете добити на Линуковој веб локацији дистрибуције или на посебном серверу кључева који управљају исти људи, у зависности од ваше дистрибуције Линука.
- Користите ПГП кључ да бисте потврдили да је дигитални потпис контролног сума креирао иста особа која је направила кључ у овом случају, одржавајући ту дистрибуцију Линука.Ово потврђује саму контролну мјеру.
- Генерисали сте контролну тачку преузете ИСО датотеке и проверите да ли се поклапа са ТКСТ датотеком која сте преузели.Ово потврђује да ИСО датотека није измењена или корумпирана.
Процес се може разликовати за различите ИСО-ове, али обично следи тај општи образац.На пример, постоји неколико различитих врста контролних сума.Традиционално, суме МД5 су биле најпопуларније.Међутим, сума СХА-256 сада се чешће користе модерне дистрибуције Линука, јер је СХА-256 отпорнији на теоријске нападе.Овде ћемо првенствено дискутовати о сумама СХА-256, иако сличан процес ради на сумама МД5.Неке дистрибуције Линука такође могу пружити суму СХА-1, иако су то још мање уобичајене.
Слично томе, неки дистрос не потписују своје контролне суме са ПГП-ом.Потребно је само да извршите кораке 1, 2 и 5, али је процес много рањивији.На крају крајева, ако нападач може заменити ИСО датотеку за преузимање, они такође могу заменити контролну тачку.
Коришћење ПГП-а је много сигурније, али није сигурно.Нападач и даље може замијенити тај јавни кључ с властитим, ипак би вас могао преварити када мислите да је ИСО легитиман.Међутим, ако је јавни кључ хостиран на другом серверу - као што је случај са Линук Минт-ово постаје далеко мање могуће( пошто би морали да хакују два сервера уместо само један).Али ако је јавни кључ ускладиштен на истом серверу као ИСО и контролна сума, као што је случај са неким дистрошама, онда то не нуди толико сигурности.
Ипак, ако покушавате да потврдите ПГП потпис у датотеки контролне суме, а затим потврдите преузимање са том контролном сесијом, то је све што можете разумно урадити као крајњи корисник који преузима Линук ИСО.Још сте много сигурнији од људи који се не труде.
Како провјерити контролну цјелину на Линуку
Ми ћемо овдје користити Линук Минт, али можда ћете морати претраживати веб локацију дистрибуције Линука како бисте пронашли опције за верификацију које нуди.За Линук Минт, две датотеке су обезбеђене заједно са ИСО довнлоад-ом на својим ретровизорима за преузимање.Преузмите ИСО, а затим преузмите датотеке "сха256сум.ткт" и "сха256сум.ткт.гпг" на ваш рачунар.Десним тастером миша кликните на датотеке и изаберите "Сачувај везу као" да бисте их преузели.
На вашој Линук радној површини отворите прозор терминала и преузмите ПГП кључ.У овом случају, ПГП кључ Линук Минта хостује на Убунтуовом кључном серверу, а ми морамо покренути следећу наредбу да је добијемо.
гпг --кеисервер хкп: //кеисервер.убунту.цом --рецв-кеис 0ФФ405Б2Веб локација Линук-а ће вас усмерити ка кључу који вам је потребан.
Сада имамо све што нам треба: ИСО, контролна сума, дигитални потпис контролне суме и ПГП кључ.Затим следеће, промените у фасциклу коју су преузели на. ..
цд ~ / преузимања. .. и покрените следећу команду да бисте проверили потпис датотеке за проверу:
гпг --верифи сха256сум.ткт.гпг сха256сум.тктАко команда ГПГ дозвољава да знате да преузета датотека сха256сум.ткт има "добар потпис", можете наставити.У четвртој линији сцреенсхот-а, ГПГ нас обавештава да је ово "добар потпис" који тврди да је повезан са Цлементом Лефебвреом, креатором Линук Минта.
Не брините да кључ није сертификован са "повјерљивим потписом." Ово је због начина на који ПГП енкрипција ради - нисте успјели поставити мрежу поверења увозом кључева од поузданих особа.Ова грешка ће бити врло честа.
На крају, сада када знамо да је контролна сума креирана од стране Линук Минт одржаваоца, покрените следећу команду да бисте генерисали контролну тачку из преузете. исо датотеке и упоредите је са контролном тачком ТКСТ датотеке коју сте преузели:
сха256сум --цхецк сха256сум.тктУколико сте преузели само једну ИСО датотеку, видећете много "без таквих датотека или директоријума", али би требало да видите поруку "ОК" за датотеку коју сте преузели ако се подудара са контролном количином.
Такође можете покренути команде контролне суме директно на. исо датотеку.Провериће датотеку. исо и испљунути своју контролну оцјену.Тада можете само провјерити да ли одговара важећој контролној сума тако што ћете погледати и ваше очи.
На пример, да бисте добили суму СХА-256 ИСО датотеке:
сха256сум /path/to/ филе.исоИли, ако имате мд5сум вриједност и требате добити мд5сум датотеке:
мд5сум /path/to/ филе.исоУпоредитерезултирати ТКСТ датотеком контролне тачке да би се утврдило да ли се они подударају.
Како провјерити контролну цјелину на оперативном систему Виндовс
Ако преузимате Линук ИСО са Виндовс уређаја, можете такођер провјерити контролну тачку тамо - мада Виндовс нема потребан уграђени софтвер.Дакле, мораћете да преузмете и инсталирате Гпг4вин алат отвореног кода.
Пронађите вашу датотеку кључа за потписивање Линука и датотека контролних сума.Користићемо Федора као пример овде.Федора-ова веб-локација обезбеђује преузимање контролних сума и говори нам да можемо преузети Федора кључ за потписивање са хттпс: //getfedora.org/static/ федора.гпг.
Након што преузмете ове датотеке, мораћете да инсталирате кључ за потписивање користећи програм Клеопатра укључен у Гпг4вин.Покрените Клеопатра и кликните на Филе & гт;Увозни цертификати.Изаберите датотеку. гпг коју сте преузели.
Сада можете проверити да ли је преузета датотека контролне суме потписана са једним од кључних датотека које сте унели.Да бисте то урадили, кликните на Датотека & гт;Дешифрирај / Потврди датотеке.Изаберите преузету датотеку контролне суме.Уклоните опцију "Улазна датотека је одвојен потпис" и кликните на "Дешифрирај / Потврди."
Сигурни сте да ћете видети поруку о грешци ако то учините на овај начин, јер нисте прошли кроз проблеме с потврдом оних Федорасертификати су заправо легитимни.То је тежак задатак.Ово је начин на који је ПГП дизајниран за рад - саставите и размјењивате кључеве лично, на примјер, и спојите мрежу повјерења.Већина људи га не користи на овај начин.
Међутим, можете погледати више детаља и потврдити да је датотека контролне суме потписана са једним од кључа које сте увезли.Ово је много боље него што верујете у преузету ИСО датотеку без провере.
Сада бисте требали да изаберете Филе & гт;Потврдите датотеке за проверу и потврдите информације у фајлу контролне суме у складу са преузетом датотеком. исо.Међутим, то није функционисало за нас - можда је то начин на који је постављен Федора-ов досије.Када смо пробали ово са датотеком сха256сум.ткт Линук Минт, то је успело.
Ако ово не ради за вашу дистрибуцију Линука, овде је решење.Прво, кликните на Поставке & гт;Конфигуришите Клеопатра.Изаберите "Црипто Оператионс", изаберите "Филе Оператионс" и поставите Клеопатра да користи програм "цхецксумум" сха256сум, јер је то сачињено са овом контролном сесијом.Ако имате контролну суму МД5, изаберите "мд5сум" на листи овде.
Сада кликните на Филе & гт;Креирајте Цхецксум датотеке и изаберите преузету ИСО датотеку.Клеопатра ће генерисати контролну суму из преузетог. исо фајла и спремити је у нову датотеку.
Можете отворити обе ове датотеке - преузету датотеку контролне суме и ону коју сте управо генерисали - у текстуалном едитору као што је Нотепад.Потврдите да је контролна сума идентична и са својим очима.Ако је идентичан, потврдили сте да вам преузета ИСО датотека није измењена.
Ове методе верификације нису првобитно биле намењене за заштиту од малвера.Они су дизајнирани тако да потврди да је ваш ИСО фајл исправно преузет и да није био корумпиран током преузимања, тако да бисте га могли спалити и користити без бриге.Они нису потпуно беспрекорно решење, пошто морате да верујете ПГП кључу који преузимате.Међутим, то и даље пружа много више сигурности од кориштења ИСО датотеке без провере уопште.
Имаге Цредит: Едуардо Куаглиато на Флицкр