Viime kuussa Linux Mintin verkkosivustoa hakkeroitiin ja muokattu ISO-tiedosto ladattiin, joka sisälsi takaportin. Vaikka ongelma on korjattu nopeasti, se osoittaa, että on tärkeää tarkistaa Linux-ISO-tiedostoja, joita olet ladannut ennen niiden suorittamista ja asentamista. Näin on.
Linux-jakelut julkaisevat tarkistussummia, jotta voit vahvistaa ladatut tiedostot, mitä he väittävät olevan, ja ne on usein allekirjoitettu, jotta voit tarkistaa itse tarkistussummat. Tämä on erityisen hyödyllinen, jos lataat ISO: n jonnekin muualta kuin pääkohtaisen kolmannen osapuolen peilistä tai BItTorrentin kautta, jossa ihmisille on paljon helpompaa muokata tiedostoja.
ISO: n tarkistusprosessi on hieman monimutkainen, joten ennen kuin saamme täsmälliset vaiheet, selitämme täsmälleen mitä prosessi edellyttää:
Prosessi voi poiketa hieman eri ISO-standardeista, mutta se yleensä seuraa yleistä mallia. Esimerkiksi on olemassa useita eri tyyppisiä tarkistussummia. Perinteisesti MD5-summat ovat olleet suosituimpia. Kuitenkin SHA-256 summia käytetään nykyään nykyaikaisemmissa Linux-jakeluissa, koska SHA-256 on vastustuskykyisempi teoreettisille hyökkäyksille. Keskustelemme pääasiassa SHA-256 summista, vaikka samanlainen prosessi toimii MD5-summilla. Jotkut Linux-doksit voivat myös tarjota SHA-1 summia, vaikka ne ovat jopa harvinaisempia.
Samoin jotkut distros eivät allekirjoita niiden tarkistussummia PGP: llä. Sinun on vain tehtävä vaiheet 1, 2 ja 5, mutta prosessi on paljon haavoittuvampi. Loppujen lopuksi, jos hyökkääjä voi korvata ISO-tiedoston ladattavaksi, he voivat myös korvata tarkistussumman.
PGP: n käyttäminen on paljon turvallisempaa, mutta ei luvallista. Hyökkääjä voi silti korvata julkisen avaimen omillaan, mutta he saattavat silti pilata sinut ajattelemaan, että ISO on legit. Jos julkinen avain isännöi kuitenkin toisella palvelimella - kuten Linux Mintin tapauksessa - tämä on paljon vähemmän todennäköistä (koska he joutuisivat hakemaan kahta palvelinta vain yhden sijaan). Mutta jos julkinen avain tallennetaan samalle palvelimelle kuin ISO ja tarkistussumma, kuten eräiden drossien tapauksessa, se ei tarjoa yhtä paljon turvallisuutta.
Jos kuitenkin yrität tarkistaa tarkistussummatiedoston PGP-allekirjoituksen ja validoida sitten latauksen kyseisellä tarkistussummalla, kaikki voit kohtuudella tehdä, kun loppukäyttäjä lataa Linux-ISO: n. Olet edelleen paljon turvallisempi kuin ihmiset, jotka eivät vaivaudu.
Käytämme Linux Mintia esimerkkinä tässä, mutta saatat joutua etsimään Linux-jakeluverkkosi verkkosivustoa löytääkseen sen tarjoamat todentamisvaihtoehdot. Linux Mintille on kaksi tiedostoa ja ISO-lataus ladataan sen latauspeileihin. Lataa ISO ja lataa sitten "sha256sum.txt" ja "sha256sum.txt.gpg" -tiedostot tietokoneellesi. Napsauta tiedostoja hiiren kakkospainikkeella ja valitse "Tallenna linkki nimellä" lataamalla ne.
Avaa Linux-työpöydällä päätelaite ja lataa PGP-avain. Tässä tapauksessa Linux Mintin PGP-avain isännöi Ubuntun avainpalvelimella, ja meidän on suoritettava seuraava komento, jotta se saadaan.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2
Linux distro: n verkkosivut viittaavat sinuun avaimen tarpeellisuudesta.
Meillä on nyt kaikki, mitä tarvitsemme: ISO, tarkistussumma-tiedosto, tarkistussumman digitaalinen allekirjoitustiedosto ja PGP-avain. Joten seuraavaksi, vaihda kansioon, johon ne ladattiin ...
cd ~ / Lataukset
... ja suorita seuraava komento tarkistaa tarkistussummustiedoston allekirjoitus:
gpg - vahvista sha256sum.txt.gpg sha256sum.txt
Jos GPG-komennon avulla tiedät, että ladatulla sha256sum.txt-tiedostolla on "hyvä allekirjoitus", voit jatkaa. Alla olevan kuvakaappauksen neljännellä rivillä GPG ilmoittaa meille, että tämä on "hyvä allekirjoitus", joka väittää liittyvän Linux Mintin luoja Clement Lefebvreen.
Älä huoli, että avainta ei ole sertifioitu "luotetulla allekirjoituksella". Tämä johtuu siitä, miten PGP-salaus toimii - et ole luonut luotettavia verkkoja tuomalla avaimia luotetuilta henkilöiltä. Tämä virhe on hyvin yleinen.
Lopuksi, kun tiedämme, että Linux Mintin ylläpitäjät ovat luoneet tarkistussumman, suorita seuraava komento luodaksesi tarkistussumman ladatusta .iso-tiedostosta ja verrata sitä ladatun tarkistussumman TXT-tiedostoon:
sha256sum --check sha256sum.txt
Näet paljon "ei tällaisia tiedostoja tai hakemistoja" viestejä, jos olet ladannut vain yhden ISO-tiedoston, mutta sinun pitäisi nähdä "OK" -viesti ladatulle tiedostolle, jos se vastaa tarkistussummaa.
Voit myös suorittaa tarkistussumman komennot suoraan .iso-tiedostossa. Se tutkii .iso-tiedoston ja sylittää sen tarkistussumman.Sitten voit tarkistaa, että se vastaa voimassa olevaa tarkistussummaa tarkastelemalla sekä silmäsi.
Esimerkiksi saada ISO-tiedoston SHA-256 summa:
sha256sum / path / to / file.iso
Tai jos sinulla on md5sum-arvo ja tarvitset tiedoston md5sum:
md5sum / path / to / file.iso
Vertaa tulosta tarkistussumman TXT-tiedoston kanssa, jotta näet, vastaavatko ne.
Jos lataat Linux ISO: n Windows-koneesta, voit myös tarkistaa tarkistussumman, vaikka Windowsissa ei ole sisäänrakennettua ohjelmistoa. Joten sinun on ladattava ja asennettava avoimen lähdekoodin Gpg4win-työkalu.
Etsi Linux Distron allekirjoituksen avaustiedosto ja tarkistussummatiedostot. Käytämme Fedoraa esimerkkinä tässä. Fedora: n verkkosivusto tarjoaa tarkistussumma-lataukset ja kertoo, että voimme ladata Fedora-allekirjoituksen avaimen osoitteesta https://getfedora.org/static/fedora.gpg.
Kun olet ladannut nämä tiedostot, sinun on asennettava allekirjoitusavain Gpg4win-ohjelmiston mukana toimitetulla Kleopatra-ohjelmalla. Käynnistä Cleopatra ja valitse Tiedosto> Tuo varmennetiedot. Valitse ladattu .gpg-tiedosto.
Voit nyt tarkistaa, onko ladattu tarkistussummatiedosto allekirjoitettu yhdellä tuoduista avaintiedostoista. Voit tehdä tämän napsauttamalla Tiedosto> Poista tai vahvista tiedostot. Valitse ladattu tarkistussummatiedosto. Poista valinta "Syöttötiedosto on irrotettava allekirjoitus" -vaihtoehto ja napsauta "Decrypt / Verify".
Olet varma, että näet virheilmoituksen, jos teet sen tällä tavalla, koska et ole käyneet läpi ongelmia, jotka osoittavat, että nämä Fedora-sertifikaatit ovat oikeutettuja. Se on vaikeampi tehtävä. Tämä on tapa, jolla PGP on suunniteltu toimimaan - tavata ja vaihtaa avaimia henkilökohtaisesti, ja koota yhteen luottamusverkosto. Useimmat ihmiset eivät käytä sitä tällä tavoin.
Voit kuitenkin tarkastella lisätietoja ja vahvistaa, että tarkistussummatiedosto on allekirjoitettu yhdellä tuoduista avaimista. Tämä on paljon parempi kuin vain luottaa ladattuun ISO-tiedostoon tarkistamatta.
Sinun pitäisi nyt valita File> Verify Checksum -tiedostot ja vahvistaa, että tarkistussummatiedoston tiedot vastaavat ladatun .iso-tiedoston. Tämä ei kuitenkaan toimi meille - ehkä se on juuri sellainen kuin Fedoran tarkistussummatiedosto on määritetty. Kun kokeilimme tätä Linux Mintin sha256sum.txt-tiedostolla, se toimi.
Jos tämä ei toimi Linux-jakelun valinnassa, tässä on kiertotapa. Valitse ensin Asetukset> Konfiguroi Kleopatra. Valitse "Salausoperaatiot", valitse "Tiedoston toiminnot" ja määritä Kleopatra käyttämään "sha256sum"-tarkistussummaohjelmaa. Jos sinulla on MD5-tarkistussumma, valitse tässä luettelossa "md5sum".
Napsauta sitten Tiedosto> Luo tarkistussummatiedostot ja valitse ladattu ISO-tiedosto. Cleopatra luo tarkistussumman ladatusta .iso-tiedostosta ja tallentaa sen uuteen tiedostoon.
Voit avata molemmat näistä tiedostomuodoista - lataamasi tarkistussummatiedoston ja juuri luomasi - tekstieditorissa, kuten Notepadissa. Varmista, että tarkistussumma on sama sekä omien silmiesi kanssa. Jos se on identtinen, olet varmistanut, että lataamasi ISO-tiedostosi ei ole vioittunut.
Näitä varmennusmenetelmiä ei alun perin tarkoitettu suojelemaan haittaohjelmilta. Ne on suunniteltu varmistamaan, että ISO-tiedosto on ladattu oikein ja ettei se ole vioittunut latauksen aikana, joten voit polttaa ja käyttää sitä huolestuttavasti. Ne eivät ole täysin typerä ratkaisu, sillä sinun on luotettava PGP-avaimeen, jonka lataat. Tämä kuitenkin tarjoaa kuitenkin paljon enemmän varmuutta kuin vain ISO-tiedoston käyttämisestä tarkistamatta sitä lainkaan.
Kuvauskurssi: Eduardo Quagliato Flickrissä
