Kaip patikrinti „Linux“ ISO kontrolinę sumą ir patvirtinti, kad ji nebuvo pažeista
Praėjusį mėnesį „Linux Mint“ svetainė buvo nulaužta, o modifikuotas ISO buvo pateiktas atsisiuntimui, kuris apėmė „backdoor“. Nors problema buvo išspręsta greitai, tai rodo, kad svarbu patikrinti Linux ISO failus, kuriuos atsisiuntėte prieš paleisdami ir diegdami juos. Štai kaip.
„Linux“ platintojai skelbia kontrolines sumas, kad galėtumėte patvirtinti, kad atsisiunčiami failai yra tie, kuriuos jie teigia esą, ir jie dažnai yra pasirašyti, kad galėtumėte patikrinti, ar patys patikrinimo sumos nebuvo pakeistos. Tai ypač naudinga, jei atsisiunčiate ISO iš bet kurios vietos, išskyrus pagrindinę svetainę, pavyzdžiui, trečiosios šalies veidrodį, arba per „BItTorrent“, kur žmonėms daug lengviau sugadinti failus.
Kaip veikia šis procesas
ISO tikrinimo procesas yra šiek tiek sudėtingas, todėl prieš pradedant patekti į tikslius veiksmus, paaiškinkime, ką reiškia procesas:
- Atsisiųsite „Linux“ ISO failą iš „Linux“ platinimo svetainės ar kažkur kitur, kaip įprasta.
- Atsisiųsite kontrolinę sumą ir jos skaitmeninį parašą iš Linux platinimo svetainės. Tai gali būti du atskiri TXT failai, arba galite gauti vieną TXT failą, kuriame yra abu duomenys.
- Gausite viešą PGP raktą, priklausantį „Linux“ platinimui. Tai galite gauti iš „Linux“ platinimo svetainės ar atskiro raktų serverio, kurį valdo tie patys žmonės, priklausomai nuo jūsų „Linux“ platinimo.
- Naudosite PGP raktą, kad patikrintumėte, ar kontrolinės sumos skaitmeninis parašas buvo sukurtas to paties asmens, padariusio raktą - šiuo atveju, to Linux platinimo palaikytojais. Tai patvirtina, kad pati kontrolinė suma nebuvo pakeista.
- Sukursite atsisiunčiamo ISO failo kontrolinę sumą ir patikrinsite, ar ji atitinka jūsų perkeltą kontrolinės sumos TXT failą. Tai patvirtina, kad ISO failas nebuvo sugadintas ar sugadintas.
Šis procesas gali šiek tiek skirtis skirtingiems ISO, tačiau paprastai jis atitinka tą bendrą modelį. Pavyzdžiui, yra keletas skirtingų kontrolinių sumų tipų. Tradiciškai MD5 sumos buvo populiariausios. Tačiau SHA-256 sumas dabar dažniau naudoja šiuolaikiniai Linux platinimai, nes SHA-256 yra labiau atsparus teoriniams išpuoliams. Čia visų pirma aptarsime SHA-256 sumas, nors panašus procesas bus taikomas ir MD5 sumoms. Kai kurie „Linux“ regionai taip pat gali suteikti SHA-1 sumas, nors tai yra dar mažiau paplitę.
Panašiai kai kurie distros nepasirašo savo kontrolinių sumų su PGP. Jums reikės atlikti tik 1, 2 ir 5 veiksmus, tačiau procesas yra daug pažeidžiamas. Galų gale, jei užpuolikas gali pakeisti ISO failą atsisiųsti, jie taip pat gali pakeisti kontrolinę sumą.
PGP naudojimas yra daug saugesnis, bet ne patikimas. Užpuolikas vis tiek galėjo pakeisti šį viešąjį raktą savo, bet vis tiek gali jus apgauti, kad ISO būtų teisėtas. Tačiau, jei viešasis raktas yra talpinamas kitame serveryje, kaip tai yra „Linux Mint“ atveju, tai tampa daug mažiau tikėtina (nes jie turėtų įsilaužti du serverius, o ne vieną). Bet jei viešasis raktas yra saugomas tame pačiame serveryje, kaip ir ISO, ir kontrolinė suma, kaip ir kai kurių sričių atveju, tada jis nesuteikia tiek daug saugumo.
Vis dėlto, jei bandote patikrinti PGP parašą kontrolinės sumos faile ir tada patvirtinti atsisiuntimą su ta kontroline suma, tai viskas, ką galite pagrįstai daryti kaip galutinį vartotoją, atsisiunčiantį „Linux ISO“. Jūs vis dar esate daug saugesni nei žmonės, kurie nesivargina.
Kaip patikrinti patikrinimo sumą „Linux“
Pavyzdžiui, mes naudosime „Linux Mint“, tačiau gali prireikti ieškoti „Linux“ platinimo svetainėje, kad surastumėte jo siūlomas tikrinimo parinktis. „Linux Mint“ sistemoje kartu su ISO parsisiunčiamais veidrodžiais pateikiami du failai. Atsisiųskite „ISO“ ir atsisiųskite „sha256sum.txt“ ir „sha256sum.txt.gpg“ failus į savo kompiuterį. Dešiniuoju pelės klavišu spustelėkite failus ir pasirinkite „Save Link As“, kad juos parsisiųsti.
„Linux“ darbalaukyje atidarykite terminalo langą ir atsisiųskite PGP raktą. Tokiu atveju „Linux Mint“ PGP raktas yra „Ubuntu“ raktų serveryje..
gpg --keyserver hkp: //keyserver.ubuntu.com - recv-keys 0FF405B2
Jūsų „Linux“ distro interneto svetainė nurodys jums reikalingą raktą.
Dabar turime viską, ko mums reikia: ISO, kontrolinės sumos failą, kontrolinės sumos skaitmeninį parašo failą ir PGP raktą. Taigi toliau pakeiskite į aplanką, į kurį jie buvo atsisiųsti ...
cd ~ / Atsisiuntimai
… Ir atlikite šią komandą, kad patikrintumėte kontrolinės sumos failo parašą:
gpg --vesti sha256sum.txt.gpg sha256sum.txt
Jei GPG komanda leidžia jums žinoti, kad atsisiųstas failas sha256sum.txt turi „gerą parašą“, galite tęsti. Ketvirtoje žemiau esančioje ekrano eilutėje GPG mums praneša, kad tai yra „geras parašas“, teigiantis, kad jis susijęs su „Clement Lefebvre“, „Linux Mint“ kūrėju.
Nesijaudinkite, kad raktas nėra patvirtintas „patikimu parašu“. Taip yra dėl to, kaip veikia PGP šifravimo darbai - nenustatėte pasitikėjimo tinklo importuodami raktus iš patikimų žmonių. Ši klaida bus labai dažna.
Galiausiai, dabar, kai žinome, kad kontrolinę sumą sukūrė Linux monetų prižiūrėtojai, atlikite šią komandą, kad sukurtumėte kontrolinę sumą iš atsisiųstos .iso failo ir palyginkite ją su atsisiunčiamu kontrolinės sumos TXT failu:
sha256sum --check sha256sum.txt
Jei atsisiunčiate tik vieną ISO failą, pamatysite daug „ne tokių failų ar katalogų“ pranešimų, tačiau failą, kurį atsisiuntėte, turėtumėte pamatyti „Gerai“ pranešimą, jei jis atitinka kontrolinę sumą.
Kontrolinės sumos komandas taip pat galite paleisti tiesiogiai .iso faile. Jis išnagrinės .iso failą ir išspaudžia jo kontrolinę sumą. Tada galite tiesiog patikrinti, ar jis atitinka galiojančią kontrolinę sumą, žiūrėdami į abi puses.
Pavyzdžiui, norint gauti ISO failo SHA-256 sumą:
sha256sum /path/to/file.iso
Arba, jei turite vertę md5sum ir turite gauti failo md5sum:
md5sum /path/to/file.iso
Palyginkite rezultatus su kontrolinės sumos TXT failu, kad pamatytumėte, ar jie atitinka.
Kaip patikrinti patikrinimo sumą sistemoje „Windows“
Jei atsisiunčiate „Linux ISO“ iš „Windows“ įrenginio, taip pat galite patikrinti kontrolinę sumą, nors „Windows“ neturi reikiamos programinės įrangos. Taigi, jums reikia atsisiųsti ir įdiegti atviro kodo „Gpg4win“ įrankį.
Suraskite savo „Linux“ distro raktų rinkmenos ir kontrolinės sumos failus. Čia naudosime „Fedora“. „Fedora“ tinklavietėje atsisiunčiama kontrolinė suma ir pranešama, kad galime atsisiųsti „Fedora“ pasirašymo raktą iš https://getfedora.org/static/fedora.gpg.
Atsisiuntę šiuos failus, turėsite įdiegti pasirašymo raktą naudodami programą „Kleopatra“, įtrauktą į „Gpg4win“. Paleiskite „Kleopatra“ ir spustelėkite Failas> Importuoti sertifikatus. Pasirinkite atsisiųstą .gpg failą.
Dabar galite patikrinti, ar atsisiųstos kontrolinės sumos failas buvo pasirašytas su vienu iš pagrindinių importuotų failų. Norėdami tai padaryti, spustelėkite Failas> Atšifruoti / patvirtinti failus. Pasirinkite atsisiųstą kontrolinės sumos failą. Pažymėkite parinktį „Įvesties failas yra atskiras parašas“ ir spustelėkite „Iššifruoti / patvirtinti“.
Jei tai padarysite, tikrai matysite klaidos pranešimą, nes nepavyko išspręsti šių Fedora sertifikatų teisėtumo patvirtinimo. Tai sunkesnė užduotis. Taip PGP yra sukurtas taip, kad galėtumėte dirbti ir keistis raktais asmeniškai, pavyzdžiui, ir sujungti pasitikėjimo tinklą. Dauguma žmonių to nenaudoja.
Tačiau galite peržiūrėti daugiau informacijos ir patvirtinti, kad kontrolinės sumos failas buvo pasirašytas su vienu iš importuotų raktų. Tai yra daug geriau nei tik pasitikėdama atsisiunčiamu ISO failu be jokio patikrinimo.
Dabar jūs turite sugebėti pasirinkti File> Verify Checksum Files ir patvirtinti, kad kontrolinės sumos faile pateikta informacija atitinka atsisiųstą .iso failą. Tačiau tai mums nepavyko - galbūt tik taip yra išdėstytas Fedoros kontrolinės sumos failas. Kai tai bandėme su „Linux Mint“ sha256sum.txt failu, jis veikė.
Jei tai neveiks jūsų pasirinktam „Linux“ platinimui, tai yra problema. Pirmiausia spustelėkite Parametrai> Konfigūruoti Kleopatra. Pasirinkite „Crypto Operations“, pasirinkite „File Operations“ ir nustatykite „Kleopatra“ naudoti „sha256sum“ kontrolinės sumos programą, nes būtent ši konkreti kontrolinė suma buvo sukurta. Jei turite MD5 kontrolinę sumą, čia pasirinkite „md5sum“.
Dabar spustelėkite File> Create Checksum Files ir pasirinkite atsisiųstą ISO failą. Kleopatra sukurs kontrolinę sumą iš atsisiųstos .iso failo ir išsaugos ją į naują failą.
Galite atidaryti abu šiuos failus - atsisiųstą kontrolinės sumos failą ir tą, kurį ką tik sukūrėte, teksto redaktoriuje, pavyzdžiui, „Notepad“. Patvirtinkite, kad kontrolinė suma yra identiška abiem su savo akimis. Jei tai identiška, patvirtinote, kad jūsų atsisiųstas ISO failas nebuvo sugadintas.
Šie tikrinimo metodai iš pradžių nebuvo skirti apsaugoti nuo kenkėjiškų programų. Jie buvo suprojektuoti taip, kad patvirtintų, kad jūsų ISO failas atsisiuntė teisingai ir kad jis nebuvo sugadintas atsisiųsti, todėl galėtumėte ją sudeginti ir nerimauti. Jie nėra visiškai kvailas sprendimas, nes jūs turite pasitikėti PGP raktu, kurį atsisiuntėte. Tačiau tai vis dar suteikia daugiau patikimumo nei tik naudojant ISO rinkmeną, bet jos visai netikrinant.
Vaizdo kreditas: Eduardo Quagliato dėl „Flickr“