Hjemmeside » hvordan » Slik verifiserer du en Linux ISOs kontrollsum og bekrefter at den ikke har blitt tømt

    Slik verifiserer du en Linux ISOs kontrollsum og bekrefter at den ikke har blitt tømt

    I forrige måned ble Linux Mint's nettsted hacket, og en endret ISO ble lagt ned for nedlasting som inkluderte en bakdør. Mens problemet ble løst raskt, demonstrerer det viktigheten av å sjekke Linux ISO-filer du laster ned før du kjører og installerer dem. Dette er hvordan.

    Linux-distribusjoner publiserer sjekksummer slik at du kan bekrefte at filene du laster ned er hva de hevder å være, og disse blir ofte signert, slik at du kan bekrefte sjekksummene selv ikke har blitt manipulert med. Dette er spesielt nyttig hvis du laster ned en ISO fra et annet sted enn det viktigste nettstedet, som et tredjeparts speil, eller gjennom BItTorrent, hvor det er mye lettere for folk å tukle med filer.

    Hvordan denne prosessen fungerer

    Prosessen med å sjekke en ISO er litt kompleks, så før vi kommer inn i de nøyaktige trinnene, la oss forklare nøyaktig hva prosessen medfører:

    1. Du laster ned Linux ISO-filen fra Linux-distribusjonens nettsted - eller et annet sted - som vanlig.
    2. Du laster ned et checksum og dets digitale signatur fra Linux-distribusjonens nettsted. Disse kan være to separate TXT-filer, eller du kan få en enkelt TXT-fil som inneholder begge deler av data.
    3. Du får en offentlig PGP-nøkkel som tilhører Linux-distribusjonen. Du kan få dette fra Linux-distribusjonens nettside eller en egen nøkkelserver administrert av de samme personene, avhengig av Linux-distribusjonen din.
    4. Du bruker PGP-tasten for å verifisere at sjekksummenes digitale signatur ble opprettet av den samme personen som gjorde nøkkelen - i dette tilfellet, vedlikehavere av den Linux-distribusjonen. Dette bekrefter at sjekksummen selv ikke har blitt manipulert med.
    5. Du genererer sjekksummen for den nedlastede ISO-filen din, og bekrefter at den samsvarer med sjekksummen TXT-filen du lastet ned. Dette bekrefter at ISO-filen ikke har blitt manipulert eller ødelagt.

    Prosessen kan variere litt for forskjellige ISO-er, men det følger vanligvis det generelle mønsteret. For eksempel er det flere forskjellige typer kontrollsummer. Tradisjonelt har MD5 summer vært den mest populære. SHA-256-beløp brukes nå oftere av moderne Linux-distribusjoner, da SHA-256 er mer motstandsdyktig mot teoretiske angrep. Vi diskuterer hovedsakelig SHA-256 summer her, selv om en lignende prosess vil fungere for MD5-beløp. Noen Linux distros kan også gi SHA-1 summer, selv om disse er enda mindre vanlige.

    På samme måte undertegner noen distroer ikke sine kontrollsummer med PGP. Du trenger bare å utføre trinn 1, 2 og 5, men prosessen er mye mer sårbar. Tross alt, hvis angriperen kan erstatte ISO-filen for nedlasting, kan de også erstatte kontrollsummen.

    Bruk av PGP er mye sikrere, men ikke idiotsikkert. Angriperen kan fortsatt erstatte den offentlige nøkkelen med sine egne, de kan fortsatt lure deg til å tro at ISO er legitim. Men hvis den offentlige nøkkelen er vert på en annen server, som det er tilfelle med Linux Mint, blir dette langt mindre sannsynlig (siden de måtte hacke to servere i stedet for bare en). Men hvis den offentlige nøkkelen er lagret på samme server som ISO og kontrollsummen, som det er tilfelle med noen distroer, gir det ikke så mye sikkerhet.

    Likevel, hvis du prøver å verifisere PGP-signaturen på en sjekksumfil og deretter validere nedlastingen med det sjekksummen, er det alt du kan med rimelighet gjøre som sluttbruker laster ned en Linux-ISO. Du er fortsatt mye sikrere enn folkene som ikke bryr seg.

    Slik bekrefter du et kontrollsum på Linux

    Vi bruker Linux Mint som et eksempel her, men det kan hende du må søke på Linux-distribusjonens nettsted for å finne bekreftelsesalternativene den tilbyr. For Linux Mint, leveres to filer sammen med ISO-nedlastingen på nedlastingsspeilene. Last ned ISO, og last ned deretter "sha256sum.txt" og "sha256sum.txt.gpg" -filene til datamaskinen din. Høyreklikk filene og velg "Lagre lenke som" for å laste dem ned.

    Åpne ditt Linux-skrivebord, åpne et terminalvindu og last ned PGP-nøkkelen. I dette tilfellet er Linux Mints PGP-nøkkel vert på Ubuntu's nøkkelserver, og vi må kjøre følgende kommando for å få det.

    gpg - keyserver hkp: //keyserver.ubuntu.com --recv-tastene 0FF405B2

    Din Linux Distro nettsted vil peke deg mot nøkkelen du trenger.

    Vi har nå alt vi trenger: ISO, sjekksumfilen, sjekksummenes digitale signaturfil og PGP-nøkkelen. Så, bytt til mappen de ble lastet ned til ...

    cd ~ / nedlastinger

    ... og kjør følgende kommando for å sjekke signaturen til sjekksumfilen:

    gpg - verifisere sha256sum.txt.gpg sha256sum.txt

    Hvis GPG-kommandoen lar deg vite at den nedlastede filen sha256sum.txt har en "god signatur", kan du fortsette. I den fjerde linjen av skjermbildet under, informerer GPG oss om at dette er en "god signatur" som hevder å være knyttet til Clement Lefebvre, Linux Mint's creator.

    Ikke bekymre deg for at nøkkelen ikke er sertifisert med en "klarert signatur." Dette skyldes måten PGP-kryptering fungerer på. Du har ikke opprettet et nett av tillit ved å importere nøkler fra pålitelige personer. Denne feilen vil bli veldig vanlig.

    Til slutt, nå da vi kjenner sjekksummen, ble opprettet av Linux Mint-vedlikeholdsstyrerne, kjør følgende kommando for å generere et sjekksum fra den nedlastede .iso-filen og sammenligne den med sjekksum TXT-filen du lastet ned:

    sha256sum - kontroller sha256sum.txt

    Du vil se mange "ikke slike filer eller katalog" meldinger hvis du bare lastet ned en enkelt ISO-fil, men du bør se en "OK" melding for filen du lastet ned hvis den samsvarer med sjekksummen.

    Du kan også kjøre kontrollsommekommandoer direkte på en .iso-fil. Det vil undersøke .iso-filen og spytte ut sjekksummen. Du kan da bare sjekke det samsvarer med det gyldige kontrollsummen ved å se på begge med øynene dine.

    For eksempel, for å få SHA-256 summen av en ISO-fil:

    sha256sum /path/to/file.iso

    Eller, hvis du har en md5sum-verdi og trenger å få md5sum av en fil:

    md5sum /path/to/file.iso

    Sammenlign resultatet med sjekksum TXT-filen for å se om de samsvarer.

    Slik bekrefter du et sjekksum på Windows

    Hvis du laster ned en Linux ISO fra en Windows-maskin, kan du også kontrollere kontrollsummen der, men Windows har ikke den nødvendige programvaren innebygd. Så, du må laste ned og installere Gpg4win-verktøyet med åpen kildekode.

    Finn Linux Distros signeringsnøkkelfil og sjekksumfiler. Vi bruker Fedora som et eksempel her. Fedoras nettsted gir sjekksumnedlastinger og forteller oss at vi kan laste ned Fedora signeringsnøkkelen fra https://getfedora.org/static/fedora.gpg.

    Etter at du har lastet ned disse filene, må du installere signeringsnøkkelen ved hjelp av Kleopatra-programmet som følger med Gpg4win. Start Kleopatra, og klikk Fil> Import sertifikater. Velg .gpg-filen du lastet ned.

    Du kan nå sjekke om den nedlastede kontrollsumfilen ble signert med en av de viktigste filene du importerte. For å gjøre det, klikk Fil> Dekrypter / verifiser filer. Velg den nedlastede sjekksumfilen. Fjern merket for "Inngangsfilen er en frittstående signatur" -alternativ, og klikk på "Dekrypter / verifiser".

    Du er sikker på å se en feilmelding hvis du gjør det på denne måten, siden du ikke har gått gjennom problemer med å bekrefte at Fedora-sertifikatene faktisk er legitime. Det er en vanskeligere oppgave. Dette er måten PGP er utformet for å jobbe - du møter og bytter nøkler i person, for eksempel, og binder sammen en web av tillit. De fleste bruker ikke den på denne måten.

    Du kan imidlertid se flere detaljer og bekrefte at sjekksumfilen ble signert med en av tastene du importerte. Dette er mye bedre enn å stole på en nedlastet ISO-fil uten å sjekke, uansett.

    Du bør nå kunne velge File> Verify Checksum Files og bekrefte at informasjonen i sjekksumfilen samsvarer med den nedlastede .iso-filen. Dette virket imidlertid ikke for oss - kanskje er det bare Fedors sjekksumfil er lagt ut. Da vi prøvde dette med Linux Mints sha256sum.txt-fil, virket det.

    Hvis dette ikke virker for Linux-distribusjonen din, er det en løsning. Klikk først på Innstillinger> Konfigurer Kleopatra. Velg "Crypto Operations", velg "File Operations," og sett Kleopatra for å bruke "sha256sum" checksum programmet, som det er hva dette sjekksummet ble generert med. Hvis du har et MD5 sjekksum, velger du "md5sum" i listen her.

    Klikk nå Arkiv> Opprett sjekksumfiler og velg den nedlastede ISO-filen. Kleopatra vil generere et checksum fra den nedlastede .iso-filen og lagre den til en ny fil.

    Du kan åpne begge disse filene - den nedlastede kontrollsumfilen og den du nettopp har generert - i en tekstredigerer som Notisblokk. Bekreft sjekksummen er identisk både med dine egne øyne. Hvis det er identisk, har du bekreftet at den nedlastede ISO-filen din ikke har blitt manipulert.


    Disse bekreftelsesmetodene var ikke opprinnelig beregnet for å beskytte mot skadelig programvare. De ble designet for å bekrefte at ISO-filen din ble lastet ned riktig og ikke skadet under nedlastingen, slik at du kunne brenne og bruke den uten å bekymre deg. De er ikke en helt idiotsikker løsning, siden du må stole på PGP-nøkkelen du laster ned. Dette gir imidlertid fortsatt mye mer sikkerhet enn bare å bruke en ISO-fil uten å sjekke det i det hele tatt.

    Bilde Kreditt: Eduardo Quagliato på Flickr