Koduleht » kuidas » Kuidas kontrollida Linuxi ISO kontrollsummat ja kinnitada, et seda ei ole muudetud?

    Kuidas kontrollida Linuxi ISO kontrollsummat ja kinnitada, et seda ei ole muudetud?

    Eelmisel kuul häkkiti Linux Mint'i veebisait ja allalaadimiseks pakuti muudetud ISO-d, mis sisaldas tagaukset. Kuigi probleem oli kiiresti lahendatud, näitab see, kui oluline on enne allalaadimist ja nende installimist kontrollida allalaaditud Linuxi ISO-faile. Siin on, kuidas.

    Linuxi distributsioonid avaldavad kontrollsummasid, nii et saate kinnitada, et allalaaditavad failid on need, mida nad väidavad olevat, ja need on sageli allkirjastatud, nii et saate kontrollida, et kontrollsummad ise ei ole muudetud. See on eriti kasulik juhul, kui laadite ISO-d alla mujalt kui peamisest saidist nagu kolmanda osapoole peegel või BItTorrenti kaudu, kus inimestel on palju lihtsam failide rikkumine..

    Kuidas see protsess toimib

    ISO kontrollimise protsess on natuke keeruline, nii et enne täpsete sammude astumist selgitame täpselt, mida protsess hõlmab:

    1. Allalaadite Linuxi ISO faili Linuxi levitamise veebisaidilt või mujalt nagu tavaliselt.
    2. Allalaaditakse kontrollsumma ja selle digitaalne allkiri Linuxi levitamise veebisaidilt. Need võivad olla kaks eraldi TXT-faili, või võite saada ühe TXT-faili, mis sisaldab mõlemat andmeid.
    3. Saate avaliku PGP-võtme, mis kuulub Linuxi levitamisse. Te võite seda saada Linuxi levitamise veebisaidilt või eraldi võtmeserverist, mida haldavad samad inimesed, olenevalt teie Linuxi levitamisest.
    4. PGP-klahvi abil saate kontrollida, kas kontrollsumma digitaalne allkiri on loodud sama isiku poolt, kes tegi selle võtme-antud juhul, selle Linuxi levitaja hooldajad. See kinnitab, et kontrollsummat ise ei ole muudetud.
    5. Te saate oma allalaaditud ISO-faili kontrollsumma ja kontrollite, et see vastab teie allalaaditud kontrollsumma TXT-failile. See kinnitab, et ISO-faili ei ole muudetud ega rikutud.

    Protsess võib erineda erinevate ISO-de puhul, kuid tavaliselt järgib see üldist mustrit. Näiteks on olemas mitu erinevat tüüpi kontrollsummasid. Traditsiooniliselt on MD5 summad olnud kõige populaarsemad. Nüüd kasutavad SHA-256 summat tänapäeva Linuxi jaotused sagedamini, kuna SHA-256 on teoreetiliste rünnakute suhtes vastupidavam. Peamiselt arutame siin SHA-256 summasid, kuigi sarnane protsess toimib ka MD5 summade puhul. Mõned Linuxi distros võivad pakkuda ka SHA-1 summasid, kuigi need on isegi vähem levinud.

    Samuti ei kirjuta mõned distrosid oma kontrollsummasid PGP-ga. Teil on vaja teha ainult samme 1, 2 ja 5, kuid protsess on palju haavatavam. Lõppude lõpuks, kui ründaja saab alla laadida ISO-faili allalaadimiseks, võivad nad samuti asendada kontrollsumma.

    PGP kasutamine on palju turvalisem, kuid mitte lollikindel. Ründaja võib selle avaliku võtme endiselt asendada, nad võiksid sind siiski mõelda, et ISO on legitiimne. Kui aga avalik võti on paigutatud teisele serverile, nagu see on Linux Mint'i puhul, siis muutub see palju vähem tõenäoliseks (kuna nad peaksid ainult ühe serveri asemel häkkima kaks serverit). Aga kui avalik võti on salvestatud samasse serverisse kui ISO ja kontrollsumma, nagu see on mõne distrosi puhul, siis ei paku see nii palju turvalisust.

    Siiski, kui üritate kontrollida kontrollsummas faili PGP allkirja ja seejärel kinnitada oma allalaadimine selle kontrollsummaga, on see kõik, mida saate mõistlikult teha lõppkasutajale, kes allalaadib Linuxi ISO-koodi. Sa oled ikka palju turvalisem kui inimesed, kes ei muretse.

    Kuidas kontrollida kontrollsummat Linuxis

    Siin kasutame näiteks Linux Minti, kuid võib-olla peate otsima oma Linuxi levitamise veebisaidilt, et leida oma pakutavad kontrollivõimalused. Linux Mint'i jaoks on ISO allalaadimispeeglite kõrval saadaval kaks faili. Laadige alla ISO ja seejärel laadige oma arvutisse failid sha256sum.txt ja sha256sum.txt.gpg. Paremklõpsake failidel ja valige nende allalaadimiseks „Save Link As”.

    Avage oma Linuxi töölaual terminaliaken ja laadige PGP-võti alla. Sellisel juhul on Linux Mint'i PGP võti majutatud Ubuntu võtmeserveris ja me peame selle saamiseks käima järgmise käsu:.

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-võtmed 0FF405B2

    Teie Linuxi veebisait suunab teid vajaliku võtme poole.

    Meil on nüüd kõik, mida vajame: ISO, kontrollsumma fail, kontrollsumma digitaalse allkirjafail ja PGP võti. Järgmisena muutke kausta, kuhu nad alla laaditi ...

    cd ~ / Allalaadimised

    … Ja kontrollige kontrollsumma faili allkirja kontrollimiseks järgmist käsku:

    gpg - kinnita sha256sum.txt.gpg sha256sum.txt

    Kui GPG käsk võimaldab teil teada, et allalaaditud failil sha256sum.txt on „hea allkiri”, võite jätkata. Alljärgneva pildi neljandas reas teatab GPG meile, et see on „hea allkiri”, mis väidab, et seostatakse Linuxi rahapaja looja Clement Lefebvre'iga.

    Ärge muretsege, et võti ei ole sertifitseeritud „usaldusväärse allkirjaga”. See on tingitud sellest, kuidas PGP krüpteerimine toimib - te pole seadnud usaldusvõrku, importides võtmeid usaldusväärsetelt inimestelt. See viga on väga levinud.

    Lõpuks, nüüd, kui me teame, et kontrollversioon loodi Linuxi rahapaja hooldajate poolt, käivitage allalaaditud .iso-failist kontrollsumma genereerimiseks järgmine käsk ja võrrelge seda allalaaditud kontrollsumma TXT-failiga:

    sha256sum --check sha256sum.txt

    Kui laadite alla ainult ühe ISO-faili, näete palju „selliseid faili- või kataloogi“ teateid, kuid allalaaditud faili puhul peaksite nägema „OK” sõnumit, kui see vastab kontrollsummale.

    Kontrollsumma käske saab käivitada ka otse .iso failil. See uurib .iso faili ja sülitab välja kontrollsumma. Seejärel saate vaadata, kas see vastab kehtivale kontrollsummale, vaadates mõlemat silma.

    Näiteks ISO-faili SHA-256 summa saamiseks:

    sha256sum /path/to/file.iso

    Või kui teil on md5sum väärtus ja vajate faili md5sum:

    md5sum /path/to/file.iso

    Võrdle tulemust kontrollsumma TXT-failiga, et näha, kas need vastavad.

    Kuidas kontrollida kontrollsummat Windowsis

    Kui laadite Windowsi arvutist alla Linuxi ISO, saate kontrollida ka kontrollsummat, kuigi Windowsil ei ole sisseehitatud vajalikku tarkvara. Niisiis peate alla laadima ja installima avatud lähtekoodiga Gpg4win'i tööriista.

    Leidke oma Linuxi allkirjastamise võtme faili ja kontrollsumma failid. Siin kasutame Fedorat. Fedora veebileht pakub kontrollsummade allalaadimist ja ütleb meile, et saame alla laadida Fedora allkirjastamise võtme aadressilt https://getfedora.org/static/fedora.gpg.

    Kui olete need failid alla laadinud, peate Gpg4winiga kaasas oleva Kleopatra programmi abil allkirjastamise võtme installima. Käivitage Kleopatra ja klõpsake käsku Fail> Impordi sertifikaadid. Valige allalaaditud .gpg-fail.

    Nüüd saate kontrollida, kas allalaaditud kontrollsumma fail on allkirjastatud ühe imporditud võtmefailiga. Selleks klõpsake nuppu Fail> Failide krüpteerimine / kinnitamine. Valige allalaaditud kontrollsumma fail. Tühjendage valikust „Sisendfail on eraldatud allkiri” ja klõpsake „Dekrüpteeri / kinnita”.

    Kui te seda teete, näete kindlasti veateate, kuna te ei ole läbinud probleeme, mis kinnitavad, et need Fedora sertifikaadid on tegelikult õigustatud. See on raskem ülesanne. See on nii, et PGP on loodud selleks, et sa kokku puutuksid ja vahetaksid võtmeid näiteks isiklikult, ja koostaksid usalduse veebi. Enamik inimesi ei kasuta seda sellisel viisil.

    Siiski saate vaadata rohkem üksikasju ja kinnitada, et kontrollsumma fail allkirjastati ühe imporditud võtmega. See on palju parem kui lihtsalt allalaaditud ISO-faili usaldamine ilma kontrollimiseta.

    Nüüd peaksite saama valida File> Verify Chatchum Files ja kinnitada, et kontrollsumma failis olev teave vastab allalaaditud .iso-failile. Kuid see ei toiminud meile - võib-olla on see just nii, nagu Fedora kontrollsumma fail on paigutatud. Kui proovisime seda Linux Mint's sha256sum.txt failiga, toimis see.

    Kui see teie Linuxi jaotuse puhul ei toimi, on siin lahendus. Kõigepealt klõpsake nuppu Seaded> Kleopatra seadistamine. Valige „Crypto Operations”, valige „File Operations” ja määrake Kleopatra „sha256sum” kontrollsumma programmi kasutamiseks, kuna just see konkreetne kontrollsumma loodi. Kui teil on MD5 kontrollsumma, valige siin loendis “md5sum”.

    Nüüd klõpsake File> Create Checksum Files ja valige allalaaditud ISO-fail. Kleopatra genereerib allalaaditud .iso failist kontrollsumma ja salvestab selle uude faili.

    Teil on võimalik avada mõlemad failid - allalaaditud kontrollsumma fail ja see, mida sa just tegid - tekstiredaktoris nagu Notepad. Kinnitage, et kontrollsumma on mõlemas oma silmaga identne. Kui see on identne, olete kinnitanud, et teie allalaaditud ISO-faili ei ole muudetud.


    Need kontrollimeetodid ei olnud algselt mõeldud pahavara eest kaitsmiseks. Need olid mõeldud selleks, et kinnitada, et teie ISO-fail on allalaaditud õigesti ja et see ei ole laadimise ajal rikutud, nii et saaksite seda põletada ja kasutada muretsemata. Nad ei ole täiesti lollikindel lahendus, sest peate usaldama allalaaditud PGP-võtit. See annab siiski palju suurema kindluse kui lihtsalt ISO-faili kasutamine ilma seda üldse kontrollimata.

    Pildi krediit: Eduardo Quagliato Flickris