Kotisivu » miten » Linux ISO n tarkistussumman tarkistaminen ja sen vahvistaminen ei ole vahingoittunut

    Linux ISO n tarkistussumman tarkistaminen ja sen vahvistaminen ei ole vahingoittunut

    Viime kuussa Linux Mintin verkkosivusto oli hakattu, ja ladattua ISO-versiota, joka sisälsi takaportin. Vaikka ongelma on korjattu nopeasti, se osoittaa, että on tärkeää tarkistaa ladatut Linux-ISO-tiedostot ennen niiden käynnistämistä ja asentamista. Näin on.

    Linux-jakelut julkaisevat tarkistussummat, jotta voit varmistaa, että lataamasi tiedostot ovat mitä he väittävät olevan, ja nämä allekirjoitetaan usein, jotta voit tarkistaa, että tarkistussummat eivät ole muuttuneet. Tämä on erityisen hyödyllistä, jos lataat ISO: n muualta kuin pää-sivustosta, kuten kolmannen osapuolen peilistä, tai BItTorrentin kautta, jossa ihmisten on paljon helpompi muokata tiedostoja.

    Miten tämä prosessi toimii

    ISO: n tarkistusprosessi on hieman monimutkainen, joten ennen kuin pääsemme tarkkojen vaiheiden eteen, selitämme tarkalleen, mitä prosessi sisältää:

    1. Lataat Linux-ISO-tiedoston Linux-jakelun verkkosivuilta tai muualta kuin tavallista.
    2. Lataat tarkistussumman ja sen digitaalisen allekirjoituksen Linux-jakelun verkkosivuilta. Nämä voivat olla kaksi erillistä TXT-tiedostoa, tai saat yhden TXT-tiedoston, joka sisältää molemmat tiedot.
    3. Saat julkisen PGP-avaimen, joka kuuluu Linux-jakeluun. Saat tämän Linux-jakelun verkkosivustolta tai erilliseltä avainpalvelimelta, jota hallitsevat samat ihmiset Linux-jakelusta riippuen.
    4. Käytät PGP-näppäintä varmistaaksesi, että tarkistussumman digitaalinen allekirjoitus on luotu samalle henkilölle, joka teki tässä tapauksessa avaimen, kyseisen Linux-jakelun ylläpitäjät. Tämä vahvistaa, että tarkistussummaa ei ole muutettu.
    5. Luodaan ladatun ISO-tiedoston tarkistussumma ja tarkistat, että se vastaa ladattuasi tarkistussumman TXT-tiedostoa. Tämä vahvistaa, että ISO-tiedostoa ei ole muokattu tai vioittunut.

    Prosessi voi poiketa hieman erilaisista ISO-standardeista, mutta yleensä se noudattaa yleistä mallia. Esimerkiksi on olemassa useita erilaisia ​​tarkistussumman tyyppejä. Perinteisesti MD5-summat ovat olleet suosituimpia. SHA-256-summat ovat nykyään nykyistä Linux-jakeluita useammin käytössä, sillä SHA-256 on teoreettisille hyökkäyksille kestävämpi. Keskustelemme pääasiassa SHA-256-summista täällä, vaikka samanlainen prosessi toimii MD5-summien osalta. Jotkin Linux-alueet voivat myös tarjota SHA-1-summia, vaikka ne ovat vielä harvinaisempia.

    Samoin jotkut distrot eivät allekirjoita tarkistussumojaan PGP: llä. Sinun tarvitsee vain suorittaa vaiheet 1, 2 ja 5, mutta prosessi on paljon haavoittuvampi. Loppujen lopuksi, jos hyökkääjä voi korvata ladattavan ISO-tiedoston, ne voivat myös korvata tarkistussumman.

    PGP: n käyttäminen on paljon turvallisempaa, mutta ei hämärää. Hyökkääjä voi silti korvata kyseisen julkisen avaimen omalla, he voisivat silti huijata sinua ajattelemaan, että ISO on legit. Jos julkinen avain isännöidään eri palvelimella - kuten Linux Mintin tapaan - tämä on paljon vähemmän todennäköistä (koska heidän täytyy hakata kaksi palvelinta vain yhden sijasta). Mutta jos julkinen avain on tallennettu samalle palvelimelle kuin ISO ja tarkistussumma, kuten jotkin distrot, niin se ei tarjoa yhtä paljon turvallisuutta.

    Jos kuitenkin yrität tarkistaa PGP-allekirjoituksen tarkistussummatiedostosta ja validoida sitten latauksen tarkistussumman avulla, kaikki mitä voit kohtuudella tehdä loppukäyttäjänä, joka lataa Linux-ISO: n. Olet vielä paljon turvallisempi kuin ihmiset, jotka eivät häiritse.

    Kuinka tarkistaa tarkistussumma Linuxissa

    Tässä esimerkissä käytämme Linux Mintia, mutta saatat joutua etsimään Linux-jakelun verkkosivustoa löytääksesi sen tarjoamat vahvistusvaihtoehdot. Linux Mintille on toimitettu kaksi latauspeilien mukana toimitettua tiedostoa ISO-latauksen mukana. Lataa ISO ja lataa sitten "sha256sum.txt" ja "sha256sum.txt.gpg" tiedostot tietokoneeseen. Napsauta tiedostoja hiiren kakkospainikkeella ja valitse ladata ne valitsemalla Tallenna linkki.

    Avaa Linux-työpöydällä pääteikkuna ja lataa PGP-avain. Tässä tapauksessa Linux Mintin PGP-avain on isännöity Ubuntu-avainpalvelimessa, ja meidän on suoritettava seuraava komento saadaksesi sen.

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-avaimet 0FF405B2

    Linux-distron verkkosivusto osoittaa sinut kohti avainta, jota tarvitset.

    Meillä on nyt kaikki mitä tarvitsemme: ISO, tarkistussumma, tarkistussumman digitaalinen allekirjoitustiedosto ja PGP-avain. Seuraavaksi vaihda kansioon, jonka ne on ladattu…

    cd ~ / Lataukset

    … Ja suorita seuraava komento tarkistaaksesi tarkistussumman tiedoston allekirjoituksen:

    gpg --varmista sha256sum.txt.gpg sha256sum.txt

    Jos GPG-komento kertoo, että ladatulla sha256sum.txt-tiedostolla on "hyvä allekirjoitus", voit jatkaa. Alla olevan kuvakaappauksen neljännessä rivissä GPG ilmoittaa meille, että tämä on hyvä allekirjoitus, joka väittää liittyvänsä Clement Lefebvre, Linux Mintin luojaan.

    Älä ole huolissasi siitä, että avainta ei ole sertifioitu "luotettavalla allekirjoituksella". Tämä johtuu siitä, miten PGP-salaus toimii - et ole luonut luottamusverkostoa tuomalla avaimia luotettavilta ihmisiltä. Tämä virhe on hyvin yleinen.

    Lopuksi, nyt kun tiedämme, että Linux Mintin ylläpitäjät ovat luoneet tarkistussumman, suorita seuraava komento luodaksesi tarkistussumman ladatusta .iso-tiedostosta ja vertaa sitä lataamasi tarkistussumman TXT-tiedostoon:

    sha256sum --check sha256sum.txt

    Näet paljon "ei tällaisia ​​tiedostoja tai hakemistoja" -viestejä, jos lataat vain yhden ISO-tiedoston, mutta sinun pitäisi nähdä "OK" -viesti ladatusta tiedostosta, jos se vastaa tarkistussummaa.

    Voit myös suorittaa tarkistussumman komennot suoraan .iso-tiedostoon. Se tutkii .iso-tiedoston ja sylkii sen tarkistussumman. Tämän jälkeen voit tarkistaa, että se vastaa voimassa olevaa tarkistussummaa tarkastelemalla molempia silmäsi kanssa.

    Jos haluat esimerkiksi saada ISO-tiedoston SHA-256-summan:

    sha256sum /path/to/file.iso

    Tai jos sinulla on md5sum-arvo ja sinun on saatava tiedoston md5sum:

    md5sum /path/to/file.iso

    Vertaa tuloksia tarkistussumman TXT-tiedostoon nähdäkseen, vastaavatko ne.

    Miten tarkistussumma tarkistetaan Windowsissa

    Jos lataat Linux-ISO: n Windows-koneesta, voit myös tarkistaa tarkistussumman siellä, vaikka Windowsissa ei ole tarvittavaa ohjelmistoa. Joten sinun täytyy ladata ja asentaa avoimen lähdekoodin Gpg4win-työkalu.

    Etsi Linux-distron allekirjoitusavain ja tarkistussummatiedostot. Käytämme Fedoraa esimerkkinä tästä. Fedoran verkkosivuilla on tarkistussumman lataus ja kerrotaan, että voimme ladata Fedoran allekirjoitusavain osoitteesta https://getfedora.org/static/fedora.gpg.

    Kun olet ladannut nämä tiedostot, sinun on asennettava allekirjoitusavain Gpg4winin mukana toimitetulla Kleopatra-ohjelmalla. Käynnistä Kleopatra ja valitse Tiedosto> Tuo sertifikaatit. Valitse lataamasi .gpg-tiedosto.

    Nyt voit tarkistaa, onko ladattu tarkistussumma-tiedosto allekirjoitettu yhdellä tuoduista avaintiedostoista. Voit tehdä tämän napsauttamalla Tiedosto> Salauksen purkaminen / vahvistaminen. Valitse ladattu tarkistussumma. Poista valinta "Input file on irrotettu allekirjoitus" -vaihtoehto ja napsauta "Decrypt / Verify".

    Näet varmasti virhesanoman, jos teet sen tällä tavalla, koska et ole käynyt läpi vaikeuksia vahvistaa näitä Fedora-varmenteita ovat oikeutettuja. Se on vaikeampi tehtävä. Näin PGP on suunniteltu toimimaan - tapaat ja vaihdat avaimet henkilökohtaisesti, ja koot yhteen luottamusverkoston. Useimmat ihmiset eivät käytä sitä tällä tavalla.

    Voit kuitenkin tarkastella lisätietoja ja vahvistaa, että tarkistussummatiedosto on allekirjoitettu yhdellä tuoduista avaimista. Tämä on paljon parempi kuin vain luottaa ladattuun ISO-tiedostoon tarkistamatta.

    Nyt sinun pitäisi pystyä valitsemaan File (Tiedosto)> Verify Checksum Files (Tarkista tarkistussumman tiedostot) ja varmistamaan, että tarkistussummatiedoston tiedot vastaavat ladattua .iso-tiedostoa. Tämä ei kuitenkaan toiminut meille - ehkä se on juuri niin kuin Fedoran tarkistussumma on asetettu. Kun yritimme tätä Linux Mintin sha256sum.txt-tiedostolla, se toimi.

    Jos tämä ei toimi Linux-jakeluasi, tässä on kiertotapa. Valitse ensin Asetukset> Määritä Kleopatra. Valitse ”Crypto Operations”, valitse ”File Operations” ja aseta Kleopatra käyttämään sha256sum-tarkistussumman ohjelmaa, koska juuri tämä nimenomainen tarkistussumma luotiin. Jos sinulla on MD5-tarkistussumma, valitse tästä luettelosta ”md5sum”.

    Valitse nyt Tiedosto> Luo tarkistussummatiedostot ja valitse ladattu ISO-tiedosto. Kleopatra luo tarkistussumman ladatusta .iso-tiedostosta ja tallentaa sen uuteen tiedostoon.

    Voit avata molemmat tiedostot - ladatun tarkistussummatiedoston ja sen, jonka olet juuri luonut - tekstieditorissa, kuten Muistio. Vahvista, että tarkistussumma on sama molemmissa omin silmin. Jos se on sama, olet vahvistanut, että ladattuasi ISO-tiedostoa ei ole muutettu.


    Nämä varmistusmenetelmät eivät olleet alun perin tarkoitettu suojaamaan haittaohjelmia vastaan. Ne on suunniteltu varmistamaan, että ISO-tiedosto on ladattu oikein ja ettei se ole vioittunut latauksen aikana, joten voit polttaa ja käyttää sitä huolestuttamatta. He eivät ole täysin typerää ratkaisua, sillä sinun täytyy luottaa lataamaasi PGP-näppäimeen. Tämä takaa kuitenkin paljon enemmän varmuutta kuin vain ISO-tiedoston käyttäminen tarkistamatta sitä lainkaan.

    Kuvaluotto: Eduardo Quagliato Flickrissä