Úvodná » ako » Ako overiť kontrolný súčet Linuxu ISO a potvrdiť, že s ním nebol

    Ako overiť kontrolný súčet Linuxu ISO a potvrdiť, že s ním nebol

    Minulý mesiac bola webová stránka Linux Mint napadnutá a upravená ISO bola na stiahnutie, ktorá obsahovala zadnú časť. Zatiaľ čo problém bol opravený rýchlo, ukazuje dôležitosť kontroly Linux súborov ISO, ktoré si stiahnete pred spustením a inštaláciou. Tu je návod.

    Distribúcie Linuxu publikujú kontrolné súčty, aby ste mohli potvrdiť, že súbory, ktoré si stiahnete, sú to, čo tvrdia, že sú, a tieto sú často podpísané, aby ste mohli overiť, či kontrolné súčet sami neboli poškodené. To je obzvlášť užitočné, ak si stiahnete ISO niekde inde, ako je hlavné zrkadlo tretej strany, alebo cez BItTorrent, kde je oveľa jednoduchšie pre ľudí manipulovať so súbormi.

    Ako tento proces funguje

    Proces kontroly ISO je trochu zložitý, takže skôr, než sa dostaneme k presným krokom, vysvetlíme, čo presne to proces prináša:

    1. Stiahnete súbor ISO Linux z webovej lokality distribúcie Linuxu - alebo niekde inde - ako obvykle.
    2. Kontrolný súčet a jeho digitálny podpis si stiahnete z webovej lokality distribúcie Linuxu. Môžu to byť dva samostatné súbory TXT, alebo môžete získať jeden súbor TXT, ktorý obsahuje obidve súbory údajov.
    3. Získate verejné kľúč PGP patriace do distribúcie Linuxu. Môžete to získať z webovej lokality distribúcie Linuxu alebo zo samostatného kľúčového servera, ktorý spravujú rovnakí ľudia, v závislosti od distribúcie systému Linux.
    4. Kľúč PGP použijete na overenie toho, že digitálny podpis kontrolného súčtu bol vytvorený tou istou osobou, ktorá v tomto prípade urobila kľúč, správcovia tejto distribúcie Linuxu. To potvrdzuje, že samotný kontrolný súčet nebol ovplyvnený.
    5. Vygenerujete kontrolný súčet prevzatého súboru ISO a overíte, či zodpovedá kontrolnému súčtu súboru TXT, ktorý ste prevzali. To potvrdzuje, že ISO súbor nebol poškodený alebo poškodený.

    Proces môže byť trochu odlišný pre rôzne ISO, ale zvyčajne to vyplýva z všeobecného vzoru. Existuje napríklad niekoľko rôznych typov kontrolných súčtov. Tradične sú sumy MD5 najpopulárnejšie. Sumy SHA-256 sú však častejšie používané modernými distribúciami Linuxu, pretože SHA-256 je odolnejší voči teoretickým útokom. Predovšetkým budeme diskutovať sumy SHA-256, aj keď podobný proces bude pracovať pre sumy MD5. Niektoré distribučné systémy Linuxu môžu tiež poskytovať sumy SHA-1, aj keď sú to ešte menej bežné.

    Podobne aj niektoré distribútory nepodpisujú svoj kontrolný súčet s PGP. Stačí vykonať kroky 1, 2 a 5, ale proces je oveľa zraniteľnejší. Koniec koncov, ak môže útočník nahradiť súbor ISO na stiahnutie, môže nahradiť aj kontrolný súčet.

    Používanie PGP je oveľa bezpečnejšie, ale nie bezpečné. Útočník by naďalej mohol nahradiť tento verejný kľúč svojím vlastným, mohli by vás stále podviesť do myslenia, že ISO je legitímna. Ak je však verejný kľúč hosťovaný na inom serveri - ako je to v prípade Linux Mint - je to oveľa menej pravdepodobné (pretože by museli naraziť na dva servery namiesto jedného). Ale ak je verejný kľúč uložený na rovnakom serveri ako ISO a kontrolný súčet, ako je to v prípade niektorých distribúcií, neponúka toľko bezpečnosti.

    Napriek tomu, ak sa pokúšate overenie podpisu PGP v súbore kontrolného súčtu a následné overenie sťahovania tohto kontrolného súčtu, to je všetko, čo môžete rozumne urobiť ako koncový používateľ sťahujúci si ISO linux. Ste stále oveľa bezpečnejší ako ľudia, ktorí sa neobťažujú.

    Ako overiť kontrolu na Linuxe

    Budeme používať Linux Mint ako príklad, ale možno budete musieť vyhľadať svoju webovú lokalitu distribúcie Linux a nájsť možnosti verifikácie, ktoré ponúka. Pre Linux Mint sú k dispozícii dva súbory spolu s downloadom ISO na zrkadlách na stiahnutie. Prevezmite ISO a potom stiahnite súbory "sha256sum.txt" a "sha256sum.txt.gpg" do vášho počítača. Kliknite pravým tlačidlom myši na súbory a vyberte možnosť "Uložiť odkaz ako".

    Na pracovnej ploche systému Linux otvorte okno terminálu a stiahnite si kľúč PGP. V tomto prípade je kľúčový server servera Linux Mint na kľúčovom serveri Ubuntu a musíme ho spustiť nasledovným príkazom.

    gpg - kľúčové slová hkp: //keyserver.ubuntu.com - rečové klávesy 0FF405B2

    Webová stránka vašej linky Linuxu Vás nasmeruje smerom k kľúču, ktorý potrebujete.

    Teraz máme všetko, čo potrebujeme: ISO, súbor kontrolného súčtu, súbor digitálneho podpisu kontrolného súčtu a kľúč PGP. Takže potom prejdite na priečinok, do ktorého boli stiahnuté ...

    cd ~ / Súbory na prevzatie

    ... a spustite nasledujúci príkaz na kontrolu podpisu súboru kontrolného súčtu:

    gpg -verify sha256sum.txt.gpg sha256sum.txt

    Ak príkaz GPG informuje, že stiahnutý súbor sha256sum.txt má "dobrý podpis", môžete pokračovať. Vo štvrtom riadku obrazovky nižšie nám GPG informuje, že ide o "dobrý podpis", ktorý tvrdí, že je spojený s tvorcom spoločnosti Clement Lefebvre, Linuxom.

    Nebojte sa, že kľúč nie je certifikovaný s "dôveryhodným podpisom". Je to spôsobené tým, ako šifrovanie PGP funguje - nenastavili ste sieť dôvery importovaním kľúčov od dôveryhodných ľudí. Táto chyba bude veľmi častá.

    Nakoniec teraz, keď vieme, že kontrolný súčet bol vytvorený správcami Linux Mint, spustite nasledujúci príkaz na vygenerovanie kontrolného súčtu zo stiahnutého súboru .iso a porovnajte ho s kontrolným súčtom súboru TXT, ktorý ste stiahli:

    sha256sum - check sha256sum.txt

    Keď ste stiahli iba jeden súbor ISO, uvidíte veľa správ typu "žiadny takýto súbor alebo adresár", ale u súboru, ktorý ste stiahli, by sa mala zobraziť správa "OK", ak sa zhoduje s kontrolným súčtom.

    Môžete tiež spustiť príkazy kontrolného súčtu priamo v súbore .iso. Bude skúmať súbor .iso a vyplieniť jeho kontrolný súčet. Potom môžete skontrolovať, či sa zhoduje s platným kontrolným súčtom tým, že sa pozeráte na obidve oči.

    Napríklad, ak chcete získať sumu SHA-256 súboru ISO:

    sha256sum / path / to /file.iso

    Alebo ak máte hodnotu md5sum a potrebujete získať md5sum súboru:

    md5sum /path/to/file.iso

    Porovnajte výsledok so súbormi TXT kontrolného súčtu a zistite, či sa zhodujú.

    Ako overiť kontrolný súčet v systéme Windows

    Ak preberáte Linux ISO z počítača so systémom Windows, môžete overiť kontrolný súčet aj tam - aj keď systém Windows nemá potrebný softvér vstavaný. Takže budete musieť stiahnuť a nainštalovať nástroj open source Gpg4win.

    Nájdite súbory podpisového kľúča distribučného systému Linux a súbor kontrolného súčtu. Ako príklad použijeme Fedoru. Webová stránka spoločnosti Fedora poskytuje sťahovanie kontrolného súčtu a hovorí, že môžeme stiahnuť podpisový kľúč Fedora zo stránky https://getfedora.org/static/fedora.gpg.

    Po stiahnutí týchto súborov budete musieť nainštalovať podpisový kľúč pomocou programu Kleopatra, ktorý je súčasťou programu Gpg4win. Spustite nástroj Kleopatra a kliknite na položku Súbor> Importovať certifikáty. Vyberte súbor .gpg, ktorý ste stiahli.

    Teraz môžete skontrolovať, či bol stiahnutý súbor kontrolného súčtu podpísaný s jedným z importovaných kľúčových súborov. Ak to chcete urobiť, kliknite na položku Súbor> Dešifrovať / Overiť súbory. Vyberte súbor prevzatého kontrolného súčtu. Zrušte začiarknutie možnosti "Vstupný súbor je odpojený podpis" a kliknite na tlačidlo "Dešifrovať / Overiť".

    Ste si istý, že sa vám zobrazí chybové hlásenie, ak to urobíte, pretože ste neprešli problémom s potvrdením toho, že Fedora certifikáty sú skutočne legitímne. To je náročnejšia úloha. Takto je PGP navrhnutý tak, aby fungoval - spĺňate a vymieňate kľúče napríklad osobne a vytvorte si web dôvery. Väčšina ľudí to nepoužíva týmto spôsobom.

    Môžete však zobraziť ďalšie podrobnosti a potvrdiť, že súbor kontrolného súčtu bol podpísaný s jedným z importovaných kľúčov. Je to oveľa lepšie, ako dôverovať prevzatému súboru ISO bez kontroly.

    Teraz by ste mali mať možnosť vybrať položku Súbor> Overiť súbory kontrolného súčtu a potvrdiť, že informácie v súbore kontrolného súčtu zodpovedajú stiahnutému súboru .iso. Pre nás to však nefungovalo - možno je to len spôsob, akým je súbor Fedora vytvorený. Keď sme to skúsili so súborom sha256sum.txt Linux Mint, fungovalo to.

    Ak to nefunguje pre vašu voľbu Linuxu, tu je riešenie. Najprv kliknite na položku Nastavenia> Konfigurácia Kleopatry. Zvoľte "Crypto Operations", zvoľte "File Operations" a nastavte Kleopatru, aby ste použili kontrolný súčet "sha256sum", pretože práve s tým vznikol tento kontrolný súčet. Ak máte kontrolný súčet MD5, v tomto zozname zvoľte "md5sum".

    Teraz kliknite na položku Súbor> Vytvoriť súbory kontrolného súčtu a vyberte stiahnutý súbor ISO. Kleopatra vygeneruje kontrolný súčet z prevzatého súboru .iso a uloží ho do nového súboru.

    Môžete otvoriť oba tieto súbory - prevzatý súbor kontrolného súčtu a súbor, ktorý ste práve vygenerovali - v textovom editore ako je Poznámkový blok. Potvrďte, že kontrolný súčet je rovnaký ako s vašimi vlastnými očami. Ak je totožná, potvrdili ste, že váš stiahnutý súbor ISO nebol prekonaný.


    Tieto metódy overovania neboli pôvodne určené na ochranu pred škodlivým softvérom. Boli určené na to, aby potvrdili správne prevzatie súboru ISO a počas preberania neboli poškodené, takže ho môžete vypáliť a používať bez obáv. Nie sú úplne bezpečné riešenie, pretože musíte dôverovať kľúči PGP, ktorý si stiahnete. To však stále poskytuje oveľa väčšiu istotu, ako len použitie súboru ISO bez toho, aby ste ho vôbec overili.

    Image Credit: Eduardo Quagliato na Flickr