Du har sandsynligvis downloadet en GNU / Linux-distribution for at installere den. Normalt vælger mange brugere ikke at kontrollere noget, de downloader bare ISO-billede, brænd det i et startbart medium og forbered dig på at installere deres distribution. I bedste fald verificerer nogle summen, men ikke ægtheden af selve summen. Men dette kan føre til, at filer bliver beskadiget eller ændret af ondsindede tredjeparter ...
Husk, at det ikke kun kan spare dig for beskadigede filer, men også at nogle cyber-kriminel Du har bevidst ændret billedet til at omfatte visse malware eller bagdøre for at udspionere brugere. Det er faktisk ikke første gang, at et af disse angreb finder sted på distro-download-servere og andre programmer til disse formål.
Hvad du har brug for at vide før
Som du ved, er der flere typer verifikationsfiler, når du downloader distro. Er det sådan MD5 og SHA. Det eneste der varierer i dem er krypteringsalgoritmen, der er blevet brugt i hver af dem, men begge tjener det samme formål. Du bør helst bruge SHA.
masse typiske filer som du kan finde, når du downloader distroen, ud over selve ISO-billedet, er:
- distro-name-image.iso: er det, der indeholder ISO-billedet af selve distro. Det kan have meget forskellige navne. For eksempel ubuntu-20.04-desktop-amd64.iso. I dette tilfælde indikerer det, at det er Ubuntu 20.04 distro til desktop og til AMD64-arkitekturen (x86-64 eller EM64T, kort sagt x86 64-bit).
- MD5SUMS: Indeholder kontrolsummen af billederne. I dette tilfælde anvendes MD5.
- MD5SUMS.gpg: i dette tilfælde indeholder den den digitale signatur til verifikation af den forrige fil for at kontrollere, at den er autentisk.
- SHA256SUMS: Indeholder kontrolsummen af billederne. I dette tilfælde anvendes SHA256.
- SHA256SUMS.gpg: i dette tilfælde indeholder den den digitale signatur til verifikation af den forrige fil for at kontrollere, at den er autentisk.
Det ved du allerede, hvis du downloader ved hjælp af . Torrent Bekræftelse er ikke nødvendig, da bekræftelse er inkluderet i downloadprocessen med disse typer klienter.
Ejemplo
Lad os sætte det et praktisk eksempel af hvordan verifikationen skal fortsætte i en reel sag. Lad os antage, at vi vil downloade Ubunut 20.04 og kontrollere dets ISO-billede ved hjælp af SHA256:
- Download ISO-billedet ordentlig Ubuntu.
- Download bekræftelsesfiler. Det vil sige både SHA256SUMS og SHA256SUMS.gpg.
- Nu skal du udføre følgende kommandoer fra den mappe, hvor du har downloadet dem (forudsat at de er i Downloads) til verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
masse resultater kastet disse kommandoer bør ikke advare dig. Den anden kommando ville vise signaturoplysningerne med Ubuntu-legitimationsoplysningerne i dette tilfælde. Hvis du læser en besked «Der er ingen tegn på, at signaturen tilhører ejeren'Eller'Der er ingen tegn på, at signaturen tilhører ejeren" ikke panikke. Det sker normalt, når det ikke er erklæret som pålideligt. Derfor skal du være sikker på, at den downloadede nøgle tilhører enheden (i dette tilfælde Ubuntu-udviklerne) og derfor den tredje kommando, som jeg har sat ...
Den fjerde kommando skal fortælle dig, at alt er OK eller en «Summen stemmer overens»Hvis ISO-billedfilen ikke er blevet ændret. Ellers skal det advare dig om, at der er noget galt ...