Domovská » jak » Jak ověřit kontrolní součet ISO systému Linux a potvrdit, že s ním nebyl zablokován

    Jak ověřit kontrolní součet ISO systému Linux a potvrdit, že s ním nebyl zablokován

    Minulý měsíc byl webový server Linux Mint hacknut a upravená verze ISO byla připravena ke stažení, která obsahovala zadní vrátku. Zatímco byl problém rychle opraven, demonstruje důležitost kontroly souborů Linux ISO, které stáhnete, před jejich spuštěním a instalací. Zde je návod.

    Distribuce Linuxu publikují kontrolní součty, takže můžete potvrdit, že stažené soubory jsou to, o čem tvrdí, že jsou, a ty jsou často podepsány, takže můžete ověřit, zda kontrolní součty sami nebyly poškozeny. To je obzvláště užitečné, pokud stáhnete ISO někde jinde než hlavní zrcadlový server, jako je například třetí strana, nebo prostřednictvím BItTorrentu, kde je uživatelům mnohem jednodušší manipulovat se soubory.

    Jak funguje tento proces

    Proces kontroly ISO je trochu složitý, takže než se dostaneme do přesných kroků, vysvětlíme přesně, co to proces znamená:

    1. Stáhněte si soubor Linux ISO z webových stránek distribuce Linuxu - nebo někde jinde - jako obvykle.
    2. Stažení kontrolního součtu a jeho digitálního podpisu získáte z webových stránek distribuce systému Linux. Mohou to být dva samostatné soubory TXT, nebo můžete získat jeden soubor TXT, který obsahuje obě části dat.
    3. Získáte veřejné klíč PGP patřící do distribuce Linux. Můžete to získat z webových stránek distribuce Linuxu nebo odděleného klíčového serveru spravovaného stejnými lidmi v závislosti na distribuci Linuxu.
    4. Použijete klíč PGP, abyste ověřili, že digitální podpis kontrolního součtu byl vytvořen stejnou osobou, která v tomto případě provedla klíč, správci této distribuce systému Linux. To potvrzuje, že samotný kontrolní součet nebyl ovlivněn.
    5. Vygenerujete kontrolní součet staženého souboru ISO a ověříte, zda odpovídá kontrolnímu součtu souboru TXT, který jste stáhli. To potvrzuje, že soubor ISO nebyl poškozen nebo poškozen.

    Proces se může u různých ISO lišit, ale obvykle se jedná o obecný vzorec. Existuje například několik různých typů kontrolních součtů. Tradiční částky MD5 jsou nejoblíbenější. Nicméně, součty SHA-256 jsou nyní častěji využívány moderními distribucemi Linuxu, protože SHA-256 je odolnější vůči teoretickým útokům. Především budeme hovořit o sumách SHA-256, ačkoli podobný proces bude pracovat na sumách MD5. Některé distribuce systému Linux mohou také poskytovat součty SHA-1, ačkoli tyto jsou ještě méně časté.

    Podobně některé distributoři nepodepisují kontrolní součet s PGP. Budete muset provést pouze kroky 1, 2 a 5, ale proces je mnohem zranitelnější. Koneckonců, pokud útočník může nahradit soubor ISO ke stažení, může také nahradit kontrolní součet.

    Použití PGP je mnohem bezpečnější, ale není spolehlivé. Útočník by mohl stále tento veřejný klíč nahradit svým vlastním, mohli by vás stále podvádět, abyste si mysleli, že ISO je legitimní. Nicméně, pokud je veřejný klíč hostován na jiném serveru - jak tomu je u Linux Mint - je to mnohem méně pravděpodobné (protože by museli hackovat dva servery místo jednoho). Ale pokud je veřejný klíč uložen na stejném serveru jako ISO a kontrolní součet, jako u některých distribucí, nenabízí tolik zabezpečení.

    Přesto, pokud se pokoušíte ověřit podpis PGP v souboru kontrolního součtu a ověřit stahování pomocí tohoto kontrolního součtu, je to vše, co můžete rozumně udělat jako koncový uživatel, který si stáhne linuxový ISO. Jsi ještě mnohem bezpečnější než lidé, kteří se neobtěžují.

    Jak ověřit kontrolní součet na

    Použijeme Linux Mint jako příklad, ale možná budete muset prohledat webové stránky distribuce Linuxu, abyste našli možnosti ověření, které nabízí. Pro linuxovou mincovnu jsou společně se stahováním ISO ve svých zrcadlech stahovány dva soubory. Stáhněte si soubor ISO a poté stáhněte soubory "sha256sum.txt" a "sha256sum.txt.gpg" do počítače. Klepněte pravým tlačítkem myši na soubory a vyberte "Uložit odkaz jako" pro jejich stažení.

    Na pracovní ploše Linuxu otevřete okno terminálu a stáhněte klíč PGP. V tomto případě je klíč MGP PGP hostován na klíčovém serveru Ubuntu a musíme jej spustit následující příkaz.

    gpg --keyserver hkp: //keyserver.ubuntu.com - klávesové zkratky 0FF405B2

    Vaše webové stránky distributora Linuxu vás nasměrují směrem k požadovanému klíči.

    Nyní máme vše, co potřebujeme: ISO, soubor kontrolního součtu, soubor digitálního podpisu kontrolního součtu a klíč PGP. Takže další, změňte složku, do které byly staženy ...

    cd ~ / Ke stažení

    ... a spusťte následující příkaz pro kontrolu podpisu souboru kontrolního součtu:

    gpg -verify sha256sum.txt.gpg sha256sum.txt

    Pokud příkaz GPG informuje, že stažený soubor sha256sum.txt má "dobrý podpis", můžete pokračovat. Ve čtvrtém řádku obrazovky níže nám GPG informuje, že je to "dobrý podpis", který tvrdí, že je spojen s tvůrcem Clementa Lefebvra, Linuxu.

    Nebojte se, že klíč není certifikován s "důvěryhodným podpisem". Je to způsobeno tím, jak šifrování PGP funguje - nenastavili jste důvěryhodnou síť importováním klíčů od důvěryhodných lidí. Tato chyba bude velmi častá.

    Nakonec, když víme, že kontrolní součet byl vytvořen správci systému Linux Mint, spusťte následující příkaz pro generování kontrolního součtu ze staženého souboru .iso a porovnejte ho s kontrolním součtem souboru TXT, který jste stáhli:

    sha256sum - check sha256sum.txt

    Zobrazí se mnoho zpráv typu "žádný takový soubor nebo adresář", pokud jste stáhli pouze jeden soubor ISO, ale u souboru, který jste si stáhli, by se měla zobrazit zpráva "OK", pokud odpovídá kontrolnímu součtu.

    Příkazy kontrolního součtu můžete také spustit přímo v souboru .iso. Bude zkoumat soubor .iso a vyplienit jeho kontrolní součet. Pak můžete jen zkontrolovat, zda odpovídá platnému kontrolnímu součtu tím, že se díváte na oba s očima.

    Chcete-li například získat soubor SHA-256 souboru ISO:

    sha256sum /path/to/file.iso

    Nebo pokud máte hodnotu md5sum a potřebujete získat md5sum souboru:

    md5sum /path/to/file.iso

    Porovnejte výsledek se souborem TXT kontrolního součtu a zjistěte, zda odpovídají.

    Jak ověřit kontrolní součet v systému Windows

    Pokud stahujete linuxovou ISO z počítače se systémem Windows, můžete také kontrolovat kontrolní součet - ačkoli systém Windows nemá potřebný software vestavěný. Takže budete muset stáhnout a nainstalovat nástroj Gpg4win s otevřeným zdrojovým kódem.

    Vyhledejte soubor s podpisovým klíči a soubory kontrolního součtu distribučního systému Linux. Jako příklad použijeme Fedoru. Webová stránka společnosti Fedora poskytuje stahování kontrolního součtu a říká, že si můžeme stáhnout podepisující klíč Fedora z adresy https://getfedora.org/static/fedora.gpg.

    Po stažení těchto souborů budete muset nainstalovat podpisový klíč pomocí programu Kleopatra dodávaného s Gpg4win. Spusťte Kleopatru a klikněte na Soubor> Import certifikátů. Vyberte stažený soubor .gpg.

    Nyní můžete zkontrolovat, zda byl soubor s kontrolním součtem stažen s jedním z klíčových souborů, které jste importovali. Chcete-li tak učinit, klepněte na Soubor> Dešifrovat / Ověřit soubory. Vyberte soubor staženého kontrolního součtu. Zrušte zaškrtnutí volby "Vstupní soubor je odpojený podpis" a klikněte na tlačítko "Dešifrovat / Ověřit".

    Jistě uvidíte chybovou zprávu, pokud to uděláte tímto způsobem, neboť jste neudělali potíže s potvrzením těchto certifikátů Fedory, jsou skutečně legitimní. To je těžší úkol. Takto je PGP navržena tak, aby pracovala - například se setkáváte a vyměňujte klíče osobně, například a sestavíte web důvěry. Většina lidí ji tímto způsobem nepoužívá.

    Můžete však zobrazit další podrobnosti a potvrdit, že soubor kontrolního součtu byl podepsán pomocí jednoho importovaného klíče. Je to mnohem lepší, než jen důvěřovat stažený soubor ISO bez kontroly, stejně.

    Nyní byste měli mít možnost vybrat Soubor> Ověřit soubory kontrolního součtu a potvrdit, že informace v souboru kontrolního součtu odpovídají staženému souboru .iso. Nicméně to pro nás nefungovalo - možná je to jen způsob, jakým Fedora sestavuje kontrolní soubor. Když jsme to zkusili se souborem sha256sum.txt Linux Mint, fungovalo to.

    Pokud to nefunguje pro distribuci Linuxu, kterou si vyberete, je zde řešení. Nejprve klikněte na Nastavení> Konfigurace Kleopatry. Zvolte možnost "Crypto Operations", zvolte "File Operations" a nastavte Kleopatru, abyste použili program kontrolního součtu "sha256sum", protože právě s tímto kontrolním součtem byl generován. Pokud máte kontrolní součet MD5, v seznamu zde vyberte "md5sum".

    Nyní klikněte na Soubor> Vytvořit soubory kontrolního součtu a vyberte stáhnutý soubor ISO. Kleopatra vytvoří kontrolní součet ze staženého souboru .iso a uloží jej do nového souboru.

    Můžete otevřít oba tyto soubory - stažený soubor kontrolního součtu a právě vygenerovaný soubor - v textovém editoru, jako je Poznámkový blok. Potvrďte, že kontrolní součet je stejný jako u vašich očí. Pokud je totožná, potvrdil jste, že váš stažený soubor ISO nebyl narušen.


    Tyto ověřovací metody nebyly původně určeny k ochraně před malwarem. Byly navrženy tak, aby potvrdily, že váš soubor ISO byl stažen správně a během stahování nebyl poškozen, takže ho můžete vypálit a používat bez obav. Nejsou to zcela spolehlivé řešení, protože musíte věřit, že jste si stáhli klíč PGP. To však stále poskytuje mnohem větší jistotu, než jen použití souboru ISO, aniž byste jej vůbec ověřili.

    Image Credit: Eduardo Quagliato na Flickru