24Aug
Geçen ay, Linux Mint'in web sitesi kesildi ve bir arka kapı içeren değiştirilmiş bir ISO yüklendi. Sorun hızla düzeltilirken, indirdiğiniz Linux ISO dosyalarını çalıştırmadan ve kurmadan önce bunların kontrol edilmesinin önemini ortaya koyuyor.İşte böyle.
Linux dağıtımı sağlama toplamak, böylece yüklediğiniz dosyaların kendilerinden geldiğini onaylayabilmenizi sağlayabilir ve bu dosyalar çoğunlukla imzalanır, böylece kendileri tarafından kurcalamalar yapılmadığını doğrulayabilirsiniz. Bu, ana sitenin dışındaki bir yerden( örneğin üçüncü parti bir ayna gibi) veya ISO dosyalarını insanlara dosyalarla kolayca değiştirilebilecek şekilde BItTorrent aracılığıyla indirirseniz özellikle yararlıdır.
Bu Süreç Nasıl Çalışır
ISO denetleme işlemi biraz karmaşıktır, bu nedenle tam adımları atmadan önce işlemin tam olarak ne yaptığını açıklayalım:
- Linux ISO dosyasını Linux dağıtım web sitesinden indireceksiniz -veyabaşka bir yerde - her zamanki gibi.
- Linux dağıtımı web sitesinden bir sağlama toplamasını ve dijital imzasını indireceksiniz. Bunlar iki ayrı TXT dosyası olabilir veya her iki veri içeren tek bir TXT dosyası elde edebilirsiniz.
- Linux dağıtımına ait bir kamu PGP anahtarı alırsınız. Linux dağıtımınızın web sitesinden veya Linux dağıtımınıza bağlı olarak aynı kişiler tarafından yönetilen ayrı bir anahtar sunucudan alabilirsiniz.
- PGP anahtarı, sağlama toplamının dijital imzasının, anahtarı yapan kişi tarafından oluşturulduğunu, bu durumda bu Linux dağıtımının koruyucularının oluşturduğunu doğrulamak için kullanacaksınız. Bu, sağlama toplamının kendini müdahale etmediğini teyit eder.
- İndirilen ISO dosyanızın checksum'unu oluşturacaksınız ve karşıdan yüklediğiniz checksum TXT dosyasıyla eşleştiğini doğrulayacaksınız. Bu, ISO dosyasının değiştirilmediğini veya bozulduğunu onaylar.
Süreç, farklı ISO'lar için biraz farklı olabilir, ancak genel olarak bu deseni izler.Örneğin, çeşitli toplam sağlama türleri vardır. Geleneksel olarak, MD5 toplamları en popüler olmuştur. Bununla birlikte, SHA-256 toplamları modern Linux dağıtımları tarafından daha sıkça kullanılmaktadır, çünkü SHA-256 teorik saldırılara karşı daha dayanıklıdır. MD5 toplamları için benzer bir süreç işe yarasa da öncelikle SHA-256 toplamlarını tartışacağız. Bazı Linux dağıtımları SHA-1 toplamlarını da sağlayabilir, ancak bunlar daha az yaygındır.
Benzer şekilde, bazı dağıtımlar, sağlama toplamlarını PGP ile imzalamıyor. Yalnızca 1., 2. ve 5. adımları gerçekleştirmeniz gerekecek, ancak işlem çok daha savunmasız durumdadır. Her şeyden önce, saldırgan ISO dosyasını indirmek için değiştirebilirse, sağlama toplamını da değiştirebilir.
PGP'yi kullanmak çok daha güvenli ancak kusursuz değil. Saldırgan, yine de bu ortak anahtarı kendi anahtarlarıyla değiştirebilir, sizi yine de ISO'nun okunaklı olduğunu düşünmek için sizi aldatabilirler. Bununla birlikte, ortak anahtar, Linux Mint'te olduğu gibi farklı bir sunucuda barındırılıyorsa, bu durum daha az olasıdır( tek bir yerine iki sunucu kesmek zorunda kalacaklarından).Ancak, bazı dağıtımlardaki gibi genel anahtar ISO ve sağlama toplamıyla aynı sunucuda saklanırsa, o kadar güvenlik sağlamaz.
Yine de, bir sağlama toplam dosyası üzerinde PGP imzasını doğrulamaya çalışıyorsanız ve daha sonra bu sağlama toplamıyla indirme doğruluğunu isterseniz, Linux ISO'u indiren bir son kullanıcı olarak makul bir şekilde yapabilirsiniz. Zahmet etmeyen insanlardan hala çok daha güvendesin.
Linux
'de Bir Checksum Nasıl Doğrulanır Bir örnek olarak Linux Mint'i kullanacağız, ancak sunduğu doğrulama seçeneklerini bulmak için Linux dağıtımınızın web sitesinde arama yapmanız gerekebilir. Linux Nane için iki dosya, indirme yansımalarında ISO indirmesiyle birlikte sağlanır. ISO dosyasını indirin ve ardından "sha256sum.txt" ve "sha256sum.txt.gpg" dosyalarını bilgisayarınıza indirin. Dosyaları sağ tıklayın ve onları indirmek için "Bağlantıyı Farklı Kaydet" i seçin.
Linux masaüstünüzde bir terminal penceresi açın ve PGP anahtarını indirin. Bu durumda, Linux Mint'in PGP anahtarı Ubuntu'nun ana sunucusunda barındırılıyor ve bunu elde etmek için aşağıdaki komutu çalıştırmamız gerekiyor.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2Linux dağıtımınızın web sitesinde size ihtiyacınız olan anahtarın işaret edecektir.
Artık ihtiyacımız olan her şeye sahibiz: ISO, sağlama toplamı dosyası, sağlama toplamı dijital imza dosyası ve PGP anahtarı.Şimdi, indirildikleri klasöre geçin. ..
cd ~ / İndirilenler. .. ve sağlama toplam dosyasının imzasını kontrol etmek için aşağıdaki komutu çalıştırın:
gpg --verify sha256sum.txt.gpg sha256sum.txtGPG komutu, indirilen sha256sum.txt dosyasının "iyi bir imzaya" sahip olduğunu size bildirirse devam edebilirsiniz. Aşağıdaki ekran görüntüsünün dördüncü satırında, GPG, bunun Linux Mint'in yaratıcısı olan Clement Lefebvre ile ilişkili olduğunu iddia eden "iyi bir imza" olduğunu bize bildirir.
Anahtarı bir "güvenilir imza" ile sertifikalandırılmadığından endişelenmeyin. Bunun nedeni, PGP şifreleme yöntemi - güvenilen insanlardan anahtarı içe aktararak güven ağını kurmadınızdır. Bu hata çok yaygın olacaktır.
Son olarak, sağlama toplamının Linux Mint bakımcıları tarafından oluşturulduğuna göre, indirilen. iso dosyasından bir sağlama toplamı oluşturmak ve indirdiğiniz sağlama toplam TXT dosyasıyla karşılaştırmak için aşağıdaki komutu çalıştırın:
sha256sum --check sha256sum.txtYalnızca tek bir ISO dosyası indirdiyseniz "hiçbir dosya veya dizin yok" mesajı görürsünüz, ancak sağlama toplamıyla eşleştiğinde indirdiğiniz dosyanın "Tamam" mesajını görmesi gerekir.
Sağlama toplamı komutlarını doğrudan bir. iso dosyası üzerinde de çalıştırabilirsiniz..iso dosyasını inceler ve sağlama toplamasını tükürür. Ardından sadece geçerli gözetleme eşleşmelerini gözlerinizle bakarak eşleştirip kontrol edemediğinizi kontrol edebilirsiniz.
Örneğin, bir ISO dosyasının SHA-256 toplamını elde etmek için:
sha256sum /path/to/ file.isoVeya bir md5sum değeriniz varsa ve bir dosyanın md5sum'unu edinmeniz gerekiyorsa:
md5sum /path/to/ file.isoKarşılaştıreşleşen dosyaları görmek için sağlama toplamı TXT dosyasına ekleyin.
Windows
'de Bir Checksum Nasıl Doğrulanır Bir Windows makineden bir Linux ISO indiriyorsanız, Windows'da gerekli yazılımı yerleşik olmamasına karşın checksum'u doğrulayabilirsiniz. Dolayısıyla, açık kaynaklı Gpg4win aracını indirip yüklemeniz gerekecek.
Linux dağıtımınızın imzalama anahtar dosyası ve sağlama toplamı dosyalarını bulun. Burada bir örnek olarak Fedora'yı kullanacağız. Fedora web sitesi sağlama toplamı indirmeleri sağlar ve Fedora imzalama anahtarını https: //getfedora.org/static/ fedora.gpg adresinden indirebileceğimizi söyler.
Bu dosyaları indirdikten sonra, Gpg4win ile birlikte verilen Kleopatra programını kullanarak imzalama anahtarını yüklemeniz gerekecek. Kleopatra'yı başlatın ve Dosya & gt;İthalat Sertifikaları.İndirdiğiniz. gpg dosyasını seçin.
İndirilen sağlama toplam dosyasının, içe aktardığınız anahtar dosyalarından biriyle imzalanmış olup olmadığını şimdi kontrol edebilirsiniz. Bunu yapmak için, Dosya & gt;Dosyaları Çöz / Onayla.İndirilen sağlama dosyasını seçin."Girdi dosyası müstakil bir imza" seçeneğinin işaretini kaldırın ve "Şifreyi Çöz / Doğrula" yı tıklayın.
Bu işlemi Fedora'yı onaylama zorunluluğunu yaşamadığınızdan bu şekilde yaparsanız bir hata mesajı görürsünüzSertifika aslında meşrudur. Bu daha zor bir iş.PGP'nin çalışması için böyle bir şekilde tasarlanmıştır; örneğin, bizzat tanıştığınız ve anahtarlarınızı karşılıklı olarak değiştirdiğinizde ve bir güven ağı oluşturduğunuzda.Çoğu insan bu şekilde kullanmaz.
Ancak, daha fazla ayrıntı görüntüleyebilir ve sağlama toplam dosyasının, içe aktardığınız anahtarlardan biriyle imzalanmış olduğunu onaylayabilirsiniz. Bu, indirilmemiş bir ISO dosyasına denetlemeden güvenmekten çok daha iyidir.
Artık Dosya & gt;Checksum Files'ı doğrulayın ve sağlama toplamı dosyasındaki bilgi ile indirilen. iso dosyasını eşleştirdiğinizden emin olun. Bununla birlikte, bu bizim için yeterli olmamıştır-belki de sadece Fedora'nın sağlama dosyasının hazırlandığı yol budur. Bunu Linux Mint'in sha256sum.txt dosyası ile denediğimizde işe yaradı.
Bu Linux dağıtımınız için uygun değilse, bir geçici çözüm bulabilirsiniz.Önce, Ayarlar & gt;Kleopatra'yı yapılandırın."Kripto İşlemleri" ni seçin, "Dosya İşlemleri" ni seçin ve "sha256sum" sağlama programını kullanmak için Kleopatra'yı ayarlayın; çünkü bu, bu özel sağlama toplamı ile oluşturulmuştur. MD5 sağlama toplamınız varsa, buradaki listeden "md5sum" u seçin.
Şimdi, Dosya & gt;Sağlama Dosyaları oluşturun ve indirdiğiniz ISO dosyasını seçin. Kleopatra indirilen. iso dosyasından bir sağlama toplamı üretecek ve yeni bir dosyaya kaydedilecektir.
Bu dosyaların her ikisini de( indirilen sağlama dosyasını ve oluşturduğunuz dosyayı) Not Defteri gibi bir metin düzenleyicisinde açabilirsiniz. Her ikisinde de sağlama toplamının kendi gözlerinizle aynı olduğunu teyit edin. Aynıysa, indirdiğiniz ISO dosyanızın oynanmadığını doğruladınız demektir.
Bu doğrulama yöntemleri, orijinal olarak kötü amaçlı yazılımlara karşı koruma amaçlı değildir. ISO dosyanızın doğru şekilde indirildiğini onaylamak için tasarlandı ve indirme sırasında bozulmadı, dolayısıyla endişelenmeden yazıp kullanabilirsiniz. Karşıdan yüklediğiniz PGP anahtarına güvenmeniz gerektiğinden, tamamen kusursuz bir çözüm değiller. Bununla birlikte, bu, yine de bir ISO dosyasını hiç kontrol etmeden kullanmadan çok daha fazla güvence sağlar.
Resim Kredisi: Flickr
'da Eduardo Quagliato