כיצד לאמת את בדיקת ISO של לינוקס ולא לאשר את זה לא היה עם
בחודש שעבר, האתר של לינוקס מנטה נפרץ, ו ISO שונה הושם להורדה שכללה אחורית. למרות שהבעיה תוקנה במהירות, היא מדגימה את החשיבות של בדיקת קובצי Linux Linux שהורדת לפני הרצתם והתקנתם. הנה איך.
הפצות לינוקס לפרסם checksums כך שאתה יכול לאשר את הקבצים שאתה מוריד הם מה שהם טוענים להיות, ואלה חתומים לעתים קרובות, כך שתוכל לבדוק את checkums עצמם לא טופלו. תכונה זו שימושית במיוחד אם מורידים את ה- ISO ממקום שאינו האתר הראשי - כמו מראה של צד שלישי, או באמצעות BItTorrent, שבה קל הרבה יותר לאנשים להתעסק עם קבצים.
איך זה עובד תהליך
תהליך בדיקת ISO הוא קצת מורכב, אז לפני שאנחנו נכנסים לשלבים המדויקים, בואו להסביר בדיוק מה התהליך כרוך:
- תוכל להוריד את קובץ ה- Linux של Linux מאתר ההפצה של לינוקס - או במקום אחר - כרגיל.
- תוכלו להוריד את הבדיקה ואת החתימה הדיגיטלית שלה מאתר ההפצה של לינוקס. אלה עשויים להיות שני קבצי TXT נפרדים, או שאתה עשוי לקבל קובץ TXT יחיד המכיל שני חלקי נתונים.
- תקבל מפתח PGP ציבורי השייך להפצת לינוקס. אתה יכול לקבל את זה מאתר ההפצה של לינוקס או שרת מפתח נפרד המנוהל על ידי אותם אנשים, בהתאם ההפצה לינוקס שלך.
- אתה תשתמש במפתח PGP כדי לוודא שהחתימה הדיגיטלית של ה- checkum נוצרה על-ידי אותו אדם שעשה את המפתח - במקרה זה, המפעילים של הפצת לינוקס. זה מאשר את בדיקת עצמה לא טופל.
- תיצור את בדיקת הסיכום של קובץ ה- ISO שהורדת, ולוודא שהוא תואם את הקובץ TXT בדיקת שהורדת. זה מאשר את קובץ ה- ISO לא טופל או פגום.
התהליך עשוי להשתנות מעט עבור ISO שונים, אבל זה בדרך כלל אחרי דפוס כללי. לדוגמה, ישנם מספר סוגים שונים של checksums. באופן מסורתי, MD5 סכומים היו הפופולריים ביותר. עם זאת, SHA-256 סכומים כיום בשימוש תכוף יותר על ידי הפצות לינוקס מודרנית, כמו SHA-256 הוא עמיד יותר להתקפות תיאורטיות. בראש ובראשונה נדון כאן ב- SHA-256, אם כי תהליך דומה יעבוד בסכומי MD5. חלק מהפריסות של לינוקס עשויות גם לספק סכומי SHA-1, אם כי אלה אפילו פחות נפוצים.
באופן דומה, כמה distros לא לחתום על checkums שלהם עם PGP. אתה רק צריך לבצע את השלבים 1, 2, ו 5, אבל התהליך הוא הרבה יותר פגיע. אחרי הכל, אם התוקף יכול להחליף את קובץ ה- ISO להורדה הם יכולים גם להחליף את בדיקת.
השימוש PGP הוא הרבה יותר מאובטח, אבל לא בטוח. התוקף עדיין יכול להחליף את זה מפתח ציבורי עם שלהם, הם עדיין יכול להערים עליך לחשוב ISO הוא לגיטימי. עם זאת, אם המפתח הציבורי מתארח בשרת אחר - כמו במקרה של לינוקס מנטה - זה הופך להיות הרבה פחות סביר (שכן הם היו צריכים לפרוץ שני שרתים במקום רק אחד). אבל אם המפתח הציבורי מאוחסן על אותו שרת כמו ISO ו בדיקת, כמו במקרה של כמה distros, אז זה לא מציע אבטחה הרבה יותר.
עם זאת, אם אתה מנסה לאמת את חתימת PGP על קובץ בדיקת ולאחר מכן לאמת את ההורדה שלך עם בדיקת זה, זה כל מה שאתה יכול לעשות סביר כמו משתמש הקצה הורדת ISO Linux. אתה עדיין הרבה יותר בטוח מאשר אנשים שלא טורחים.
כיצד לאמת את Checksum על לינוקס
נשתמש ב- Linux Mint כדוגמה כאן, אך ייתכן שיהיה עליך לחפש באתר ההפצה של לינוקס שלך כדי למצוא את אפשרויות האימות שהוא מציע. עבור לינוקס מנטה, שני קבצים מסופקים יחד עם ההורדה ISO על מראות ההורדה שלה. הורד את ה- ISO ולאחר מכן הורד את הקבצים "sha256sum.txt" ו- "sha256sum.txt.gpg" למחשב שלך. לחץ לחיצה ימנית על הקבצים ובחר "שמור קישור בשם" כדי להוריד אותם.
בשולחן העבודה של לינוקס, פתח חלון מסוף והורד את מקש PGP. במקרה זה, מפתח PGP של לינוקס מינט מתארח בשרת המפתח של אובונטו, ואנחנו חייבים להפעיל את הפקודה הבאה כדי לקבל את זה.
gpg - keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2
אתר האינטרנט של הפצת לינוקס שלך יכוון אותך לעבר המפתח שאתה צריך.
עכשיו יש לנו את כל מה שאנחנו צריכים: ISO, את קובץ הביקורת, את קובץ החתימה הדיגיטלית של בדיקת, ואת מפתח PGP. אז הבא, לשנות את התיקיה הם הורדו ל ...
cd ~ / הורדות
... ולהפעיל את הפקודה הבאה כדי לבדוק את החתימה של הקובץ בדיקת:
מאמרים קשורים gpg -
אם הפקודה GPG מאפשרת לך לדעת כי הקובץ sha256sum.txt שהורדת יש "חתימה טובה", אתה יכול להמשיך. בשורה הרביעית של צילום המסך למטה, GPG מודיע לנו שזו "חתימה טובה" הטוענת כי היא קשורה לקלמנט לפבר, היוצר של לינוקס מינט.
אל תדאג שהמפתח אינו מאושר עם "חתימה מהימנה". הסיבה לכך היא שההצפנה של PGP פועלת - לא הגדרת רשת של אמון על ידי ייבוא מפתחות מאנשים מהימנים. שגיאה זו תהיה נפוצה מאוד.
לבסוף, כעת, לאחר שנודע לנו שהמחשב נוצר על-ידי מתכנני Mint Linux, הפעל את הפקודה הבאה כדי ליצור בדיקת סיכום מקובץ ה- .iso שהורדת והשווה אותו לקובץ ה- TXT של בדיקת ה- TXT שהורדת:
- sha256sum. בדוק
תוכל לראות הרבה "קבצים או תיקיות" כאלה אם הורדת רק קובץ ISO אחד, אבל אתה אמור לראות את ההודעה "אישור" עבור הקובץ שהורדת אם הוא תואם את בדיקת.
ניתן גם להפעיל את פקודות הבדיקה ישירות על קובץ .iso. הוא יבדוק את תיק ה- .iso וירוק את בדיקתו. לאחר מכן תוכל רק לבדוק את זה תואם את בדיקת תקף על ידי הסתכלות על שניהם עם העיניים.
לדוגמה, כדי לקבל את סכום SHA-256 של קובץ ISO:
sha256sum /path/to/file.iso
לחלופין, אם יש לך ערך md5sum ואתה צריך לקבל את md5sum של קובץ:
md5sum /path/to/file.iso
השווה את התוצאה עם קובץ ה- TXT של בדיקת המצב כדי לראות אם הם תואמים.
כיצד לבדוק בודק ב - Windows
אם אתה מוריד ISO Linux ממחשב Windows, אתה יכול גם לבדוק את בדיקת שם - למרות Windows אין את התוכנה הנדרשת מובנית. אז, תצטרך להוריד ולהתקין את קוד פתוח Gpg4win כלי.
אתר את חתימת לינוקס של חתימה קובץ מפתח קבצים בדיקת. נשתמש בפדורה כדוגמה כאן. אתר האינטרנט של Fedora מספק הורדות של ביקורות ומאפשר לנו להוריד את מפתח החתימה של Fedora מ- https://getfedora.org/static/fedora.gpg.
לאחר הורדת קבצים אלה, יהיה עליך להתקין את מפתח החתימה באמצעות תוכנית Kleopatra הכלולה ב- Gpg4win. הפעל את Kleopatra ולחץ על קובץ> ייבוא אישורים. בחר את קובץ ה- gpg שהורדת.
כעת באפשרותך לבדוק אם קובץ בדיקת הקובץ שהורדת נחתם עם אחד מקבצי המפתח שייבאת. לשם כך, לחץ על קובץ> פענוח / אמת קבצים. בחר בקובץ הבדיקה שהורדת. בטל את הסימון של "קובץ קלט הוא חתימה מנותקת" אפשרות ולחץ על "פענוח / אמת".
אתה בטוח לראות הודעת שגיאה אם אתה עושה את זה בדרך זו, כפי שאתה לא עברו את הטרחה של אישור אלה תעודות Fedora הם למעשה לגיטימי. זו משימה קשה יותר. זוהי הדרך בה PGP מתוכננת לעבוד - אתם נפגשים ומחליפים את המפתחות באופן אישי, לדוגמה, ומחברים יחד רשת של אמון. רוב האנשים לא משתמשים בזה בדרך זו.
עם זאת, תוכל להציג פרטים נוספים ולאשר שקובץ בדיקת הסיכום נחתם באמצעות אחד המקשים שייבאת. זה הרבה יותר טוב מאשר רק לסמוך על הורדת קובץ ISO מבלי לבדוק, בכל מקרה.
כעת אתה אמור לבחור קובץ> אמת את קבצי Checksum ולאשר את המידע בקובץ בדיקת התאמת הקובץ .iso שהורדת. אבל זה לא עבד בשבילנו - אולי זה בדיוק כמו שמובאים תיק החקירה של פדורה. כאשר ניסינו את זה עם קובץ she256sum.txt של לינוקס Mint, זה עבד.
אם זה לא עובד עבור ההפצה לינוקס שלך של בחירה, הנה פתרון לעקיפת הבעיה. ראשית, לחץ על הגדרות> הגדרת קליאופטרה. בחר "פעולות הצפנה", בחר "פעולות קובץ", ולהגדיר Kleopatra להשתמש בתוכנית "sha256sum" בדיקת, כמו זה מה זה בודק מסוים שנוצר עם. אם יש לך בדיקת MD5, בחר "md5sum" ברשימה כאן.
כעת, לחץ על קובץ> צור קובצי Checksum ובחר את קובץ ה- ISO שהורדת. קליאופטרה תיצור בדיקת מידע מקובץ ה- .iso שהורדת ושמור אותו לקובץ חדש.
אתה יכול לפתוח את שני הקבצים הללו - קובץ הבדיקה שהורדת ואת זה אתה פשוט שנוצר - בעורך טקסט כמו פנקס רשימות. אשר את בדיקת המצב זהה בשתי העיניים שלך. אם זה זהה, אתה כבר אישר את קובץ ה- ISO שהורדת לא טופל.
שיטות אימות אלה לא נועדו במקור להגנה מפני תוכנות זדוניות. הם נועדו לאשר כי קובץ ה- ISO שלך הורדו כראוי ולא היה פגום במהלך ההורדה, אז אתה יכול לשרוף ולהשתמש בו ללא דאגה. הם לא פתרון בטוח לחלוטין, כמו שאתה צריך לסמוך על מקש PGP שאתה מוריד. עם זאת, זה עדיין מספק הרבה יותר ביטחון מאשר רק באמצעות קובץ ISO מבלי לבדוק את זה בכלל.
קרדיט תמונה: אדוארדו Quagliato על Flickr