Kā pārbaudīt Linux ISO kontrolsummu un apstiprināt, ka tā nav bojāta
Pagājušajā mēnesī tika ielauzta Linux Mint tīmekļa vietne, un lejupielādei tika izveidots modificēts ISO, kas ietvēra aizmugures durvis. Kaut arī problēma tika atrisināta ātri, tas parāda, cik svarīgi ir pārbaudīt lejupielādētos Linux ISO failus pirms to palaišanas un instalēšanas. Lūk, kā.
Linux izplatītāji publicē kontrolsummas, lai jūs varētu apstiprināt, ka lejupielādētie faili ir tie, ko viņi apgalvo, ka tie ir, un tie bieži tiek parakstīti, lai jūs varētu pārbaudīt, vai pašas kontrolsummas nav aizskartas. Tas ir īpaši noderīgi, ja lejupielādējat ISO no jebkuras vietas, kas nav galvenā vietne, piemēram, trešās puses spogulis, vai izmantojot BItTorrent, kur cilvēkiem ir daudz vieglāk manipulēt ar failiem.
Kā darbojas šis process
ISO pārbaudes process ir mazliet sarežģīts, tāpēc pirms mēs nonākam pie precīzām darbībām, paskaidrosim tieši to, ko nozīmē process:
- Jūs lejupielādēt Linux ISO failu no Linux izplatīšanas tīmekļa vietnes vai kaut kur citur, kā parasti.
- Jūs lejupielādēsit kontrolsummu un tā digitālo parakstu no Linux izplatīšanas tīmekļa vietnes. Tie var būt divi atsevišķi TXT faili, vai arī jūs varat saņemt vienu TXT failu, kas satur abus datus.
- Jūs saņemsiet publisku PGP atslēgu, kas pieder Linux izplatīšanai. To var iegūt no Linux izplatīšanas vietnes vai atsevišķa atslēgu servera, ko pārvalda tie paši cilvēki, atkarībā no jūsu Linux izplatīšanas.
- Jūs izmantosiet PGP taustiņu, lai pārliecinātos, ka kontrolsummas ciparparakstu ir izveidojis tas pats cilvēks, kurš šajā gadījumā piešķīra šī Linux izplatītāja uzturētājus. Tas apstiprina, ka pati kontrolsumma nav bojāta.
- Jūs izveidosiet lejupielādētā ISO faila kontrolsummu un pārbaudiet, vai tas atbilst lejupielādētajam kontrolsummas TXT failam. Tas apstiprina, ka ISO fails nav bojāts vai bojāts.
Process var nedaudz atšķirties dažādiem ISO, bet parasti tas atbilst šim vispārējam modelim. Piemēram, ir vairāki dažādi kontrolsummu veidi. Tradicionāli MD5 summas ir populārākās. Tomēr SHA-256 summas šobrīd biežāk izmanto mūsdienu Linux sadalījumi, jo SHA-256 ir izturīgāks pret teorētiskiem uzbrukumiem. Mēs šeit galvenokārt apspriedīsim SHA-256 summas, lai gan līdzīgs process darbosies MD5 summām. Daži Linux distros var nodrošināt arī SHA-1 summas, lai gan tās ir vēl mazāk izplatītas.
Līdzīgi, daži distros neparaksta savas kontrolsummas ar PGP. Jums būs jāveic tikai 1., 2. un 5. darbība, bet process ir daudz neaizsargātāks. Galu galā, ja uzbrucējs var aizstāt ISO failu lejupielādei, viņi var arī nomainīt kontrolsummu.
PGP izmantošana ir daudz drošāka, bet nav droša. Uzbrucējs joprojām varēja aizstāt šo publisko atslēgu ar saviem spēkiem, viņi joprojām varētu triks jūs domāt, ka ISO ir likumīgs. Tomēr, ja publiskā atslēga ir izvietota citā serverī, kā tas ir gadījumā ar Linux Mint, tas kļūst daudz mazāk ticams (jo viņiem ir jāizķer divi serveri, nevis tikai viens). Bet, ja publiskā atslēga tiek glabāta tajā pašā serverī kā ISO un kontrolsumma, kā tas ir ar dažiem distros, tad tas nenodrošina tik daudz drošības.
Tomēr, ja jūs mēģināt pārbaudīt PGP parakstu kontrolsummas failā un pēc tam apstiprināt savu lejupielādi ar šo kontrolsummu, tas viss ir iespējams, kā gala lietotājs, lejupielādējot Linux ISO. Jūs joprojām esat daudz drošāks, nekā cilvēki, kas neuztraucas.
Kā pārbaudīt kontrolsummu Linux
Kā piemēru mēs izmantosim Linux Mint, bet jums var būt nepieciešams meklēt jūsu Linux izplatīšanas vietnē, lai atrastu piedāvātās verifikācijas iespējas. Linux Mint, tās lejupielādes spoguļos tiek piedāvāti divi faili kopā ar ISO lejupielādi. Lejupielādējiet ISO un pēc tam lejupielādējiet datorā “sha256sum.txt” un “sha256sum.txt.gpg” failus. Ar peles labo pogu noklikšķiniet uz failiem un izvēlieties "Saglabāt saiti kā", lai tos lejupielādētu.
Linux darbvirsmā atveriet termināļa logu un lejupielādējiet PGP taustiņu. Šajā gadījumā Linux Mint PGP atslēga ir izvietota Ubuntu atslēgas serverī, un mums ir jārīkojas šādi, lai to iegūtu.
gpg --keyserver hkp: //keyserver.ubuntu.com - recv-keys 0FF405B2
Jūsu Linux ekskluzīvā tīmekļa vietne jūs norādīs uz vajadzīgo atslēgu.
Tagad mums ir viss nepieciešamais: ISO, kontrolsummas fails, kontrolsummas digitālā paraksta fails un PGP atslēga. Līdz ar to, pārejiet uz mapi, kuru viņi lejupielādēja ...
cd ~ / Lejupielādes
… Un palaidiet šādu komandu, lai pārbaudītu kontrolsummas faila parakstu:
gpg - verificēt sha256sum.txt.gpg sha256sum.txt
Ja GPG komanda ļauj jums zināt, ka lejupielādētajam failam sha256sum.txt ir “labs paraksts”, varat turpināt. Tālāk redzamās attēlojuma ceturtajā rindā GPG informē, ka tas ir „labs paraksts”, kas apgalvo, ka tas ir saistīts ar Clement Lefebvre, Linux Mint izveidotāju.
Neuztraucieties, ka atslēga nav sertificēta ar “uzticamu parakstu”. Tas ir tāpēc, ka PGP šifrēšanas darbi darbojas - neesat izveidojis uzticības tīklu, importējot atslēgas no uzticamiem cilvēkiem. Šī kļūda būs ļoti izplatīta.
Visbeidzot, tagad, kad mēs zinām, ka kontrolsummu izveidoja Linux Mint uzturētāji, palaidiet šādu komandu, lai izveidotu kontrolsummu no lejupielādētā .iso faila un salīdzinātu to ar lejupielādēto kontrolsummas TXT failu:
sha256sum --check sha256sum.txt
Ja lejupielādējat tikai vienu ISO failu, jūs redzēsiet daudz “bez šāda faila vai direktorija” ziņojuma, bet jums vajadzētu redzēt “OK” ziņojumu par lejupielādēto failu, ja tas atbilst kontrolsummai.
Kontrolsummas komandas var arī palaist tieši .iso failā. Tā pārbaudīs .iso failu un izspiež kontrolsummu. Pēc tam varat vienkārši pārbaudīt, vai tas atbilst derīgajai kontrolsummai, aplūkojot abas ar acīm.
Piemēram, lai iegūtu ISO faila SHA-256 summu:
sha256sum /path/to/file.iso
Vai, ja jums ir md5sum vērtība un ir nepieciešams iegūt faila md5sum:
md5sum /path/to/file.iso
Salīdziniet rezultātu ar kontrolsummas TXT failu, lai redzētu, vai tie atbilst.
Kā pārbaudīt kontrolsummu sistēmā Windows
Ja lejupielādējat Linux ISO no Windows mašīnas, varat arī pārbaudīt kontrolsummu, lai gan Windows nav instalēta nepieciešamā programmatūra. Tātad, jums ir nepieciešams lejupielādēt un instalēt atvērtā koda Gpg4win rīku.
Atrodiet savu Linux diska paraksta atslēgu failu un kontrolsummas failus. Mēs šeit izmantosim Fedora. Fedora tīmekļa vietne nodrošina kontrolsummas lejupielādi un stāsta, ka mēs varam lejupielādēt Fedora paraksta atslēgu no https://getfedora.org/static/fedora.gpg.
Kad esat lejupielādējis šos failus, jums būs jāinstalē paraksta atslēga, izmantojot Kleopatra programmu, kas iekļauta Gpg4win. Uzsākt Kleopatra un noklikšķiniet uz Fails> Importēt sertifikātus. Atlasiet lejupielādēto .gpg failu.
Tagad varat pārbaudīt, vai lejupielādētais kontrolsummas fails ir parakstīts ar vienu no galvenajiem importētajiem failiem. Lai to izdarītu, noklikšķiniet uz Fails> Atšifrēt / pārbaudīt failus. Atlasiet lejupielādēto kontrolsummas failu. Noņemiet atzīmi, ka opcija “Ievades fails ir atdalīts paraksts” un noklikšķiniet uz “Atšifrēt / pārbaudīt”.
Ja jūs to darīsiet šādā veidā, jūs noteikti redzēsiet kļūdas ziņojumu, jo neesat guvis grūtības apstiprināt, ka šie Fedora sertifikāti ir likumīgi. Tas ir grūtāks uzdevums. Tas ir tāds veids, kā PGP ir izstrādāts, lai jūs varētu tikties un apmainīties ar atslēgām, piemēram, un apkopot uzticības tīklu. Lielākā daļa cilvēku to nelieto šādā veidā.
Tomēr varat skatīt sīkāku informāciju un apstiprināt, ka kontrolsummas fails ir parakstīts ar vienu no importētajiem taustiņiem. Tas ir daudz labāk nekā tikai uzticoties lejupielādētajam ISO failam bez jebkādas pārbaudes.
Tagad jums vajadzētu būt iespējai izvēlēties File> Verify Checksum Files un apstiprināt, ka informācija kontrolsummas failā atbilst lejupielādētajam .iso failam. Tomēr tas mums nedarbojās - varbūt tas ir tieši tāds, kā ir izklāstīts Fedoras kontrolsummas fails. Kad mēs to izmēģinājām ar Linux Mint sha256sum.txt failu, tas darbojās.
Ja tas nedarbojas jūsu izvēlētajam Linux sadalījumam, šeit ir risinājums. Vispirms noklikšķiniet uz Iestatījumi> Konfigurēt Kleopatru. Atlasiet “Crypto Operations”, atlasiet “File Operations” un iestatiet Kleopatra, lai izmantotu “sha256sum” kontrolsummas programmu, jo tieši šī konkrētā kontrolsumma tika izveidota. Ja jums ir MD5 kontrolsumma, šeit atlasiet “md5sum”.
Tagad noklikšķiniet uz Fails> Izveidot kontrolsummas failus un atlasiet lejupielādēto ISO failu. Kleopatra radīs kontrolsummu no lejupielādētā .iso faila un saglabās to jaunā failā.
Jūs varat atvērt abus šos failus - lejupielādēto kontrolsummas failu un to, ko tikko izveidojāt - teksta redaktorā, piemēram, Notepad. Apstipriniet, ka kontrolsumma ir identiska abās ar savām acīm. Ja tas ir identisks, esat apstiprinājis, ka jūsu lejupielādētais ISO fails nav bojāts.
Šīs verifikācijas metodes sākotnēji nebija paredzētas aizsardzībai pret ļaunprātīgu programmatūru. Tie tika izstrādāti, lai apstiprinātu, ka jūsu ISO fails ir lejupielādēts pareizi un tas nav bojāts lejupielādes laikā, lai jūs varētu to ierakstīt un lietot, neuztraucoties. Tie nav pilnīgi drošs risinājums, jo jums ir jāuzticas lejupielādētajai PGP atslēgai. Tomēr tas joprojām sniedz daudz lielāku pārliecību, nekā tikai izmantojot ISO failu, nekontrolējot to vispār.
Image Credit: Eduardo Quagliato par Flickr