Sie haben wahrscheinlich eine GNU / Linux-Distribution heruntergeladen, um sie zu installieren. Normalerweise entscheiden sich viele Benutzer dafür, nichts zu überprüfen, sondern laden nur das herunter ISO-ImageSie brennen es auf einem bootfähigen Medium und bereiten die Installation ihrer Distribution vor. Bestenfalls überprüfen einige die Summe, aber nicht die Echtheit der Summe selbst. Dies kann jedoch dazu führen, dass Dateien von böswilligen Dritten beschädigt oder geändert werden ...
Denken Sie daran, dass es Sie nicht nur vor beschädigten Dateien retten kann, sondern auch vor einigen Cyberkrimineller Sie haben das Image absichtlich so geändert, dass es bestimmte Malware oder Hintertüren enthält, mit denen Benutzer ausspioniert werden können. Tatsächlich ist es nicht das erste Mal, dass einer dieser Angriffe auf Distributions-Download-Server und andere Programme für diese Zwecke erfolgt.
Was Sie vorher wissen müssen
Wie Sie wissen, gibt es beim Herunterladen der Distribution verschiedene Arten von Überprüfungsdateien. Ist es so der MD5 und der SHA. Das einzige, was sich in ihnen unterscheidet, ist der Verschlüsselungsalgorithmus, der in jedem von ihnen verwendet wurde, aber beide dienen demselben Zweck. Sie sollten vorzugsweise die SHA verwenden.
Die typische Dateien Beim Herunterladen der Distribution finden Sie neben dem ISO-Image selbst Folgendes:
- distro-name-image.iso: ist dasjenige, das das ISO-Image der Distribution selbst enthält. Es kann sehr unterschiedliche Namen haben. Zum Beispiel ubuntu-20.04-desktop-amd64.iso. In diesem Fall bedeutet dies, dass es sich um die Ubuntu 20.04-Distribution für den Desktop und für die AMD64-Architektur handelt (x86-64 oder EM64T, kurz x86 64-Bit).
- MD5SUMS: Enthält die Prüfsummen der Bilder. In diesem Fall wird MD5 verwendet.
- MD5SUMS.gpg: In diesem Fall enthält es die digitale Signatur der Überprüfung der vorherigen Datei, um die Echtheit zu überprüfen.
- SHA256SUMS: Enthält die Prüfsummen der Bilder. In diesem Fall wird SHA256 verwendet.
- SHA256SUMS.gpg: In diesem Fall enthält es die digitale Signatur der Überprüfung der vorherigen Datei, um die Echtheit zu überprüfen.
Das wissen Sie bereits, wenn Sie mit dem herunterladen .torrent Eine Überprüfung ist nicht erforderlich, da bei diesen Clienttypen eine Überprüfung im Downloadprozess enthalten ist.
Ejemplo
Nun sagen wir mal ein praktisches Beispiel wie die Überprüfung in einem realen Fall ablaufen sollte. Nehmen wir an, wir möchten Ubunut 20.04 herunterladen und das ISO-Image mit SHA256 überprüfen:
- Laden Sie das ISO-Image herunter richtige Ubuntu.
- Bestätigungsdateien herunterladen. Das heißt, sowohl SHA256SUMS als auch SHA256SUMS.gpg.
- Jetzt müssen Sie die folgenden Befehle aus dem Verzeichnis ausführen, in das Sie sie heruntergeladen haben (vorausgesetzt, sie befinden sich in Downloads) verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
Die Ergebnisse geworfen Diese Befehle sollten Sie nicht alarmieren. Der zweite Befehl würde in diesem Fall die Signaturinformationen mit den Ubuntu-Anmeldeinformationen anzeigen. Wenn Sie eine Nachricht lesen «Es gibt keinen Hinweis darauf, dass die Signatur dem Eigentümer gehört"Oder"Es gibt keinen Hinweis darauf, dass die Signatur dem Eigentümer gehört" keine Panik. Dies geschieht normalerweise, wenn es nicht als vertrauenswürdig deklariert wurde. Aus diesem Grund müssen Sie sicher sein, dass der heruntergeladene Schlüssel zur Entität gehört (in diesem Fall zu den Ubuntu-Entwicklern), und daher der dritte Befehl, den ich eingegeben habe ...
Der vierte Befehl sollte Ihnen sagen, dass alles in Ordnung ist oder ein «Die Summe stimmt überein»Wenn die ISO-Image-Datei nicht geändert wurde. Andernfalls sollte es Sie darauf hinweisen, dass etwas nicht stimmt ...