Hogyan ellenőrizze a Linux ISO ellenőrzőösszegét, és megerősítette, hogy nem sérült meg

A múlt hónapban a Linux Mint honlapja szaggatott, és egy módosított ISO-t tettek letölthetővé, amely egy hátsó ajtót tartalmazott. Miközben a problémát gyorsan rögzítették, megmutatja, hogy mennyire fontos ellenőrizni a letöltött Linux ISO fájlokat, mielőtt azokat futtatná és telepítené. Itt van, hogyan.

A Linux disztribúciók közzéteszik az ellenőrző összegeket, így megerősíthetjük, hogy a letöltött fájlok az, amit állítanak, és ezek gyakran aláírásra kerülnek, így ellenőrizheti, hogy maguk nem ellenőrzik-e az ellenőrző összegeket. Ez különösen akkor hasznos, ha az ISO-t letölti máshol, mint a főoldalról, mint egy harmadik fél tüköréről, vagy a BItTorrent-en keresztül, ahol sokkal könnyebb az emberek számára, hogy fájlokat bánjanak be.

Hogyan működik ez a folyamat?

Az ISO ellenőrzése egy kicsit bonyolult, így mielőtt pontos lépésekbe lépnénk, magyarázzuk meg pontosan, mi a folyamat:

1. Letöltheti a Linux ISO fájlt a Linux disztribúció honlapjáról - vagy máshol, mint a szokásos módon.
2. Letölthet egy ellenőrző összeget és digitális aláírását a Linux disztribúciójának honlapjáról. Ezek lehetnek két különálló TXT-fájl, vagy egyetlen TXT-fájlt is kaphat, amely mindkét adatot tartalmazza.
3. Kapsz egy nyilvános PGP kulcsot, amely a Linux disztribúcióhoz tartozik. A Linux disztribúciójától függően előfordulhat, hogy ezt a Linux disztribúció webhelyéről vagy egy azonos kulcsfontosságú kiszolgálóról kezeli.
4. A PGP-kulcs segítségével ellenőrizheti, hogy az ellenőrzőösszeg digitális aláírását ugyanaz a személy hozta létre, aki a kulcs-ebben az esetben a Linux-terjesztés fenntartói. Ez megerősíti, hogy maga az ellenőrzőösszeg nem sérült meg.
5. Létrehozza a letöltött ISO-fájl ellenőrző összegét, és ellenőrzi, hogy megfelel-e a letöltött ellenőrző összeg TXT-fájljának. Ez megerősíti, hogy az ISO fájl nem sérült meg.

A folyamat különbözhet egy kicsit a különböző ISO-k esetében, de általában az általános mintázatot követi. Például többféle ellenőrző összeg létezik. Hagyományosan az MD5 összegek voltak a legnépszerűbbek. Az SHA-256-os összegeket azonban mostanában gyakrabban használják a modern Linux disztribúciók, mivel az SHA-256 jobban ellenáll az elméleti támadásoknak. Elsősorban az SHA-256 összegeket tárgyaljuk itt, bár hasonló folyamat fog működni az MD5 összegeknél. Néhány Linux disztribúció is biztosíthat SHA-1 összegeket, bár ezek még kevésbé gyakoriak.

Hasonlóképpen, néhány distros nem írja alá az ellenőrző összegeket a PGP-vel. Csak az 1., 2. és 5. lépést kell végrehajtania, de a folyamat sokkal sebezhetőbb. Végül is, ha a támadó letöltheti a letölthető ISO-fájlt, akkor helyettesítheti az ellenőrző összeget.

A PGP használata sokkal biztonságosabb, de nem bolondos. A támadó még mindig helyettesítheti ezt a nyilvános kulcsot sajátjukkal, még mindig becsaphatná, hogy az ISO legitim. Azonban, ha a nyilvános kulcs egy másik kiszolgálón található, mint a Linux Mint esetében, akkor ez sokkal kevésbé valószínű (mivel két szervert csak egy helyett kell szaggatni). De ha a nyilvános kulcs ugyanazon a szerveren van tárolva, mint az ISO és az ellenőrző összeg, mint a nézők esetében, akkor nem nyújt annyi biztonságot.

Mégis, ha megpróbálod ellenőrizni a PGP aláírást egy ellenőrzőösszegfájlon, és ezt követően ellenőrzi a letöltést ezzel az ellenőrzőösszeggel, akkor csak annyit tehetsz, mint egy végfelhasználó, aki letölti a Linux ISO-t. Még mindig sokkal biztonságosabb, mint azok, akik nem zavarnak.

Hogyan ellenőrizhető egy ellenőrző összeg a Linuxon

Például itt fogjuk használni a Linux Mintat, de lehet, hogy a Linux disztribúciójának webhelyén kell keresni, hogy megtalálhassa az általuk kínált ellenőrzési lehetőségeket. A Linux Mint esetében két fájl található az ISO letöltés mellett a letöltési tükrökön. Töltse le az ISO-t, majd töltse le a „sha256sum.txt” és a „sha256sum.txt.gpg” fájlokat a számítógépére. Kattintson a jobb gombbal a fájlokra, és válassza a „Hivatkozás mentése” lehetőséget a letöltéshez.

A Linux asztalon nyissa meg a terminálablakot, és töltse le a PGP kulcsot. Ebben az esetben a Linux Mint PGP kulcsa az Ubuntu kulcskiszolgálóján található, és a következő parancsot kell futtatnunk ahhoz, hogy megkapjuk.

gpg --keyserver hkp: //keyserver.ubuntu.com --recv-gombok 0FF405B2

A Linux disztribúciós webhelye a szükséges kulcs felé mutat.

Most mindenre van szükségünk: az ISO, az ellenőrző összegfájl, az ellenőrző összeg digitális aláíró fájlja és a PGP kulcs. Ezután váltson át a letöltött mappára…

cd ~ / Letöltések

… És futtassa a következő parancsot az ellenőrző összegfájl aláírásának ellenőrzéséhez:

gpg --verje sha256sum.txt.gpg sha256sum.txt

Ha a GPG parancs lehetővé teszi, hogy a letöltött sha256sum.txt fájl „jó aláírása” legyen, folytathatja. Az alábbi képernyő negyedik sorában a GPG arról tájékoztat bennünket, hogy ez egy „jó aláírás”, amely azt állítja, hogy kapcsolatban áll a Clement Lefebvre, a Linux Mint készítőjével.

Ne aggódj, hogy a kulcs nem „hiteles aláírással” rendelkezik. Ez azért van, mert a PGP titkosítás működik - nem hozta létre a bizalmi webet a kulcsok megbízható emberekből történő importálásával. Ez a hiba nagyon gyakori.

Végül, most, hogy tudjuk, hogy az ellenőrző összeget a Linux Mint fenntartója hozta létre, futtassa a következő parancsot, hogy egy ellenőrző összeget generáljon a letöltött .iso fájlból, és hasonlítsa össze a letöltött ellenőrző összeg TXT fájljával:

sha256sum --check sha256sum.txt

Egy csomó „nem ilyen fájl vagy könyvtár” üzenet jelenik meg, ha csak egy ISO-fájlt töltött le, de az „OK” üzenetet kell látnia a letöltött fájlhoz, ha az megegyezik az ellenőrző összeggel.

Az ellenőrzőösszeg parancsokat is futtathatja közvetlenül .iso fájlban. Meg fogja vizsgálni az .iso fájlt, és kihagyja az ellenőrző összegét. Ezután csak ellenőrizze, hogy megfelel-e az érvényes ellenőrzőösszegnek, ha mindkét szemével néz.

Például az ISO-fájl SHA-256 összegének megszerzéséhez:

sha256sum /path/to/file.iso

Vagy ha md5sum értéke van, és meg kell kapnia az md5sum fájlt:

md5sum /path/to/file.iso

Hasonlítsa össze az eredményt az ellenőrző összeg TXT fájljával, hogy lássa, hogy egyeznek-e.

Ellenőrző összeg ellenőrzése a Windows rendszeren

Ha Linux-rendszert töltött le egy Windows-gépről, akkor ellenőrizheti az ellenőrző összeget is, bár a Windows nem rendelkezik a szükséges szoftverrel. Szóval, le kell töltenie és telepítenie kell a nyílt forráskódú Gpg4win eszközt.

Keresse meg a Linux disztribúciós kulcsfájljait és az ellenőrző összegfájlokat. Itt használjuk a Fedorát. A Fedora honlapja ellenőrzőösszegeket tölti le, és elmondja, hogy letölthetjük a Fedora aláírási kulcsot a https://getfedora.org/static/fedora.gpg címen.

Miután letöltötte ezeket a fájlokat, telepítenie kell az aláírási kulcsot a Gpg4win-ben található Kleopatra program segítségével. Indítsa el a Kleopatra programot, és kattintson a Fájl> Tanúsítványok importálása elemre. Válassza ki a letöltött .gpg fájlt.

Most ellenőrizheti, hogy a letöltött ellenőrző összegfájl aláírásra került-e az importált kulcsfájlok egyikével. Ehhez kattintson a Fájl> Fájlok visszafejtése / ellenőrzése parancsra. Válassza ki a letöltött ellenőrző összegfájlt. Törölje a jelölőnégyzetet, hogy a „Bemeneti fájl különálló aláírás” opciót választja, majd kattintson a „Dekódolás / ellenőrzés” gombra.

Biztosan hibaüzenet jelenik meg, ha ezt így teszi, mivel nem ment át a fáradsággal, hogy megerősítse, hogy a Fedora igazolások valóban jogosak. Ez egy nehezebb feladat. Így tervezték meg a PGP-t, hogy személyesen találkozzon és cseréljen kulcsokat, és összegyűjtse a bizalmi hálót. A legtöbb ember ezt nem használja.

Megtekintheti a további részleteket, és megerősítheti, hogy az ellenőrző összegfájl aláírásra került az egyik importált kulcsmal. Ez sokkal jobb, mintha csak letöltött ISO-fájlra bízna anélkül, hogy ellenőriznék.

Most már képesnek kell lennie kiválasztani a Fájl> Ellenőrzési összegfájlok ellenőrzése elemet, és ellenőrizze, hogy az ellenőrzőösszegfájlban található információk megegyeznek-e a letöltött .iso fájlokkal. Ez azonban nem működött számunkra, talán csak a Fedora ellenőrzőösszegfájlja. Amikor ezt a Linux Mint's sha256sum.txt fájljával próbáltuk meg, akkor működött.

Ha ez nem működik a választott Linux disztribúciónál, itt van egy megoldás. Először kattintson a Beállítások> Kleopatra konfigurálása elemre. Válassza ki a „Crypto Operations” opciót, válassza ki a „File Operations” lehetőséget, és állítsa be a Kleopatra-t a „sha256sum” ellenőrző összegprogram használatára, mivel ez az adott ellenőrző összeg lett létrehozva. Ha MD5 ellenőrzőösszeg van, válassza ki az „md5sum” listát.

Most kattintson a Fájl> Ellenőrző összegfájlok létrehozása elemre, és válassza ki a letöltött ISO fájlt. A Kleopatra ellenőrző összeget generál a letöltött .iso fájlból, és elmenti egy új fájlba.

Mindkét fájlt megnyithatja - a letöltött ellenőrzőösszegfájlt és azt, amit éppen létrehozott - egy szövegszerkesztőben, például a Jegyzettömbben. Erősítse meg, hogy az ellenőrző összeg mindkét szemében azonos. Ha megegyezik, megerősítette, hogy a letöltött ISO-fájl nem módosult.

Ezek az ellenőrzési módszerek eredetileg nem voltak kártevők elleni védelemre szánták. Úgy tervezték, hogy meggyőződjenek arról, hogy az ISO-fájlja megfelelően letöltött, és nem sérült meg a letöltés során, így nem kell aggódnia. Nem teljesen bolond megoldást jelentenek, mivel meg kell bízniuk a letöltött PGP kulcsot. Azonban ez még mindig sokkal több biztosítékot nyújt, mint egy ISO-fájl használata anélkül, hogy egyáltalán ellenőrizné.

Képhitel: Eduardo Quagliato a Flickr-en