cs.phhsnews.com


cs.phhsnews.com / Jak ověřit kontrolní součet linuxu ISO a potvrdit, že nebyla tamena

Jak ověřit kontrolní součet linuxu ISO a potvrdit, že nebyla tamena


Minulý měsíc byl webový server Linux Mint napaden a modifikovaný ISO byl stažen ke stažení, který obsahoval backdoor . Zatímco byl problém rychle opraven, ukazuje, že je důležité kontrolovat stažené soubory systému Linux, které si stáhnete před spuštěním a instalací. Zde je návod.

Distribuce Linuxu publikují kontrolní součty, takže můžete potvrdit, že stažené soubory jsou tím, čím tvrdí, že jsou, a tyto jsou často podepsány, takže můžete ověřit, zda kontrolní součty sami nebyly poškozeny. To je obzvláště užitečné, pokud si stáhnete ISO někde jinde než hlavní zrcadlový server, jako je zrcadlo třetí strany, nebo přes BItTorrent, kde je pro lidi mnohem jednodušší manipulace se soubory.

Jak tento proces funguje

proces kontroly ISO je trochu složitý, takže než se dostaneme do přesných kroků, vysvětlíme přesně, co proces vyžaduje:

  1. Stáhněte soubor Linuxu ISO z webových stránek distribuce Linuxu nebo někde jinde - jako obvykle
  2. Kontrolní součet a jeho digitální podpis si stáhnete z webové stránky distribuce Linuxu. Mohou to být dva samostatné soubory TXT, nebo můžete získat jeden soubor TXT obsahující oba data.
  3. Získáte veřejné klíč PGP patřící do distribuce Linuxu. Můžete to získat z webové stránky distribuce Linuxu nebo odděleného klíčového serveru spravovaného stejnými lidmi v závislosti na distribuci systému Linux
  4. Klíčem PGP použijete ověření, že digitální podpis kontrolního součtu byl vytvořen stejnou osobou, která v tomto případě se stal klíčem, správci této distribuce Linuxu. To potvrzuje, že samotný kontrolní součet nebyl ovlivněn.
  5. Vygenerujete kontrolní součet staženého souboru ISO a ověříte, že odpovídá kontrolnímu součtu souboru TXT, který jste stáhli. To potvrzuje, že soubor ISO nebyl porušen nebo poškozen.

Proces se může u různých ISO lišit, ale obvykle se jedná o obecný vzorec. Existuje například několik různých typů kontrolních součtů. Tradiční částky MD5 jsou nejoblíbenější. Nicméně SHA-256 součty jsou nyní častěji využívány moderními distribucemi Linuxu, protože SHA-256 je odolnější vůči teoretickým útokům. Především budeme hovořit o částkách SHA-256, ačkoli podobný proces bude pracovat na částkách MD5. Některé linuxové distribuce mohou také poskytovat součty SHA-1, ačkoli tyto jsou dokonce méně časté.

Podobně některé distributoři nepodepisují svůj kontrolní součet s PGP. Budete muset provést pouze kroky 1, 2 a 5, ale proces je mnohem zranitelnější. Koneckonců, pokud útočník může nahradit soubor ISO ke stažení, může také nahradit kontrolní součet.

Používání PGP je mnohem bezpečnější, ale není spolehlivé. Útočník by mohl stále tento veřejný klíč nahradit svým vlastním, mohli by vás stále podvádět, abyste si mysleli, že ISO je legitimní. Nicméně, pokud je veřejný klíč hostován na jiném serveru - jak tomu je u Linux Mint - je to mnohem méně pravděpodobné (protože by museli hackovat dva servery místo jednoho). Ale pokud je veřejný klíč uložen na stejném serveru jako ISO a kontrolní součet, stejně jako u některých distribucí, nenabízí tolik zabezpečení.

Pokud se ale pokoušíte ověřit podpis PGP na souboru kontrolního součtu a poté ověření stahování s kontrolním součtem, to je vše, co můžete rozumně udělat jako koncový uživatel, který si stáhne Linux. Jste stále mnohem bezpečnější než lidé, kteří se neobtěžují.

Jak ověřit kontrolní součet na Linuxu

Jako příklad použijeme linuxovou mincovnu, ale možná budete muset hledat webovou stránku distribuce Linuxu najít možnosti ověření, které nabízí. Pro linuxovou mincovnu jsou společně se stahováním ISO ve svých zrcadlech stahovány dva soubory. Stáhněte soubor ISO a poté stáhněte soubory "sha256sum.txt" a "sha256sum.txt.gpg" do počítače. Klepněte pravým tlačítkem myši na soubory a vyberte "Uložit odkaz jako".

Na pracovní ploše Linuxu otevřete okno terminálu a stáhněte klíč PGP. V tomto případě je klíč MGP PGP hostován na klíčovém serveru Ubuntu a pro jeho získání musíme spustit následující příkaz

gpg - keysyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

Vaše webová stránka distributora Linuxu vás nasměruje směrem ke klíči, který potřebujete

Nyní máme vše, co potřebujeme: ISO, kontrolní součet Soubor digitálního podpisu kontrolního součtu a klíč PGP. Takže další, změňte složku, do které byly staženy ...

cd ~ / Downloads

... a spusťte následující příkaz pro kontrolu podpisu souboru kontrolního součtu:

gpg - verify sha256sum.txt.gpg sha256sum .txt

Pokud příkaz GPG informuje, že stažený soubor sha256sum.txt má "dobrý podpis", můžete pokračovat. Ve čtvrtém řádku obrazovky níže nám GPG informuje, že je to "dobrý podpis", který tvrdí, že je spojen s tvůrcem Clementa Lefebvra, Linuxu Mintu.

Nebojte se, že klíč není certifikován " důvěryhodný podpis ". Je to proto, že funguje šifrování PGP - nemáte vytvořenou síť důvěryhodnosti importováním klíčů od důvěryhodných lidí. Tato chyba bude velmi běžná.

A konečně, když víme, že kontrolní součet byl vytvořen správci systému Linux Mint, spusťte následující příkaz pro vygenerování kontrolního součtu ze staženého souboru .iso a porovnejte jej s kontrolním součtem, který jste stáhli ze souboru TXT :

sha256sum - check sha256sum.txt

Pokud jste stáhli pouze jeden soubor ISO, uvidíte spoustu zpráv "žádný takový soubor nebo adresář", ale pro soubor byste měli vidět zprávu "OK" stáhli jste, pokud se shoduje s kontrolním součtem.

Příkazy kontrolního součtu můžete také spustit přímo v souboru .iso. Bude zkoumat soubor .iso a vyplienit jeho kontrolní součet. Pak můžete jen zkontrolovat, zda odpovídá platnému kontrolnímu součtu tím, že se dívá na oba s očima.

Chcete-li například získat součet SHA-256 souboru ISO:

sha256sum /path/to/file.iso

Nebo pokud máte hodnotu md5sum a potřebujete získat md5sum souboru:

md5sum /path/to/file.iso

Porovnejte výsledek se souborem TXT kontrolního součtu a zjistěte, zda se shodují.

Jak ověřit kontrolní součet v systému Windows

Pokud stahujete linuxovou ISO z počítače se systémem Windows, můžete ověřit také kontrolní součet - i když systém Windows nemá potřebný software. Takže budete muset stáhnout a nainstalovat nástroj Gpg4win s otevřeným zdrojovým kódem.

Vyhledejte soubory podpisového klíče distribučního systému Linux a soubory kontrolního součtu. Jako příklad použijeme Fedoru. Webové stránky společnosti Fedora poskytují stahování kontrolního součtu a informují o tom, že si můžeme stáhnout podepisující klíč Fedora z adresy //getfedora.org/static/fedora.gpg.

Po stažení těchto souborů musíte nainstalovat podpisový klíč pomocí program Kleopatra zahrnutý v programu Gpg4win. Spusťte aplikaci Kleopatra a klepněte na položku Soubor> Import certifikátů. Zvolte stažený soubor .gpg.

Nyní můžete zkontrolovat, zda byl soubor s kontrolním součtem stažen s jedním z klíčových souborů, které jste importovali. Chcete-li tak učinit, klepněte na Soubor> Dešifrovat / Ověřit soubory. Vyberte soubor staženého kontrolního součtu. Zrušte zaškrtnutí políčka "Vstupní soubor je odpojený podpis" a klikněte na tlačítko "Dešifrovat / Ověřit".

Ujistěte se, že jste si uvědomili chybovou zprávu, pokud tak učiníte, protože jste neskončili problémy s potvrzením tyto certifikáty Fedora jsou skutečně legitimní. To je těžší úkol. Takto je PGP navržena pro práci - setkáváte se například s osobami a vyměňujte si klíče osobně a sestavíte web důvěry. Většina lidí je nepoužívá tímto způsobem.

Můžete však zobrazit další podrobnosti a potvrdit, že soubor kontrolního součtu byl podepsán pomocí jednoho importovaného klíče. Je to mnohem lepší, než jen důvěřovat stažený soubor ISO bez kontroly.

Nyní byste měli mít možnost vybrat Soubor> Ověřit soubory kontrolního součtu a potvrdit, že informace v souboru kontrolního součtu odpovídají staženému souboru .iso. Nicméně to pro nás nefungovalo - možná je to jen způsob, jakým je soubor Fedory sestaven. Když jsme to zkusili s souborem sha256sum.txt Linux Mint, fungovalo to.

Pokud to nefunguje pro distribuci Linuxu, kterou si vyberete, je to řešení. Nejprve klikněte na Nastavení> Konfigurovat Kleopatru. Zvolte "Crypto Operations", zvolte "File Operations" a nastavte Kleopatru, abyste použili program kontrolního součtu "sha256sum", protože právě s tímto kontrolním součtem byl generován. Pokud máte kontrolní součet MD5, v seznamu zde vyberte "md5sum".

Nyní klikněte na Soubor> Vytvořit soubory kontrolního součtu a vyberte stáhnutý soubor ISO. Kleopatra vytvoří kontrolní součet ze staženého souboru .iso a uloží jej do nového souboru.

Tyto soubory - stažený soubor kontrolního součtu a právě vygenerovaný soubor - můžete otevřít v textovém editoru, jako je například Poznámkový blok. Potvrďte, že kontrolní součet je stejný jako u vašich očí. Pokud je totožná, potvrdil jste, že váš stažený soubor ISO nebyl upraven.


Tyto ověřovací metody nebyly původně určeny k ochraně před malwarem. Byly navrženy tak, aby potvrdily, že váš soubor ISO byl správně stažen a během stahování nebyl poškozen, takže ho můžete vypálit a používat bez obav. Nejsou to naprosto špatné řešení, protože musíte věřit, že jste stáhli klíč PGP. To však stále poskytuje mnohem větší jistotu, než jen použití ISO souboru, aniž by to vůbec kontrolovalo.

Image Credit: Eduardo Quagliato na Flickr


Jak přesunout soubory z jedné služby Cloud Storage na jinou

Jak přesunout soubory z jedné služby Cloud Storage na jinou

Možná budete chtít přepnout na jinou službu úložiště cloud - možná se přesunete na OneDrive společnosti Microsoft a získáte tak nyní nekonečné úložiště cloud. Ano, stačí stahovat a znovu nahrát všechny soubory, ale můžete to také udělat rychleji. Rychlost uploadu doma v Internetu je obvykle tu překážkou.

(how-to)

Jak načtěte svůj smartphone bez přístupu k elektrické energii

Jak načtěte svůj smartphone bez přístupu k elektrické energii

V tomto okamžiku je zapojení telefonu za poplatek v noci asi tak obyčejné jako čištění zubů nebo sprchování ... ale co byste udělali, kdyby na druhé straně výstupu nebylo nic? Naše telefony jsou jen tak dobré jako baterie, které instalují na zadní straně, takže je nutno učit, jak je udržet naživu a kopat bez spolehlivého zdroje energie pro každého v nouzové situaci nebo jinak Ať už je to přírodní katastrofa nebo jen další den na turistické stezce, je to pár z nejlepších způsobů, jak udržet váš telefon živý po vypnutí napájení.

(how-to)