अपने डिस्ट्रो की आईएसओ छवि की अखंडता को सही ढंग से कैसे सत्यापित करें

आपने शायद इसे स्थापित करने के लिए GNU / Linux वितरण डाउनलोड किया है। आमतौर पर कई उपयोगकर्ता कुछ भी सत्यापित नहीं करने के लिए चुनते हैं, वे बस डाउनलोड करते हैं आईएसओ छवि, वे इसे एक बूट करने योग्य माध्यम में जलाते हैं और अपने वितरण को स्थापित करने के लिए तैयार करते हैं। सबसे अच्छे रूप में, कुछ राशि को सत्यापित करते हैं लेकिन योग की प्रामाणिकता को नहीं। लेकिन इससे फ़ाइलें दूषित हो सकती हैं या दुर्भावनापूर्ण तृतीय पक्षों द्वारा संशोधित की जा सकती हैं ...

याद रखें कि न केवल यह आपको दूषित फ़ाइलों से बचा सकता है, बल्कि यह भी कि कुछ cybercriminal आपने उपयोगकर्ताओं पर जासूसी करने के लिए जानबूझकर कुछ मैलवेयर या पिछले दरवाजों को शामिल करने के लिए छवि को संशोधित किया है। वास्तव में, यह पहली बार नहीं है कि इनमें से एक हमला इन उद्देश्यों के लिए डिस्ट्रो डाउनलोड सर्वर और अन्य कार्यक्रमों पर हुआ है।

इससे पहले आपको क्या जानना चाहिए

ठीक है, जैसा कि आप जानते हैं, जब आप डिस्ट्रो को डाउनलोड करते हैं तो कई प्रकार की सत्यापन फाइलें होती हैं। ऐसा है क्या MD5 और SHA। केवल एक चीज जो उनमें भिन्न होती है वह है एन्क्रिप्शन एल्गोरिथम जिसका उपयोग उनमें से प्रत्येक में किया गया है, लेकिन दोनों एक ही उद्देश्य से काम करते हैं। आपको अधिमानतः SHA का उपयोग करना चाहिए।

L विशिष्ट फाइलें आईएसओ इमेज के अलावा डिस्ट्रो डाउनलोड करते समय आप पा सकते हैं:

• distro-name-image.iso: वह है जिसमें डिस्ट्रो की आईएसओ छवि शामिल है। इसके बहुत अलग नाम हो सकते हैं। उदाहरण के लिए, ubuntu-20.04-Desktop-amd64.iso। इस मामले में यह इंगित करता है कि यह डेस्कटॉप के लिए और AMD20.04 आर्किटेक्चर (x64-86 या EM64T, संक्षेप में, x64 86-बिट) के लिए Ubuntu 64 डिस्ट्रो है।
• MD5SUMS: छवियों की जांच शामिल है। इस स्थिति में एमडी 5 का उपयोग किया जाता है।
• MD5SUMS.gpg: इस मामले में यह सत्यापित करने के लिए पिछली फ़ाइल का सत्यापन डिजिटल हस्ताक्षर है कि यह प्रामाणिक है।
• SHA256SUMS: छवियों की जांच शामिल है। इस स्थिति में SHA256 का उपयोग किया जाता है।
• SHA256SUMS.gpg: इस मामले में यह सत्यापित करने के लिए पिछली फ़ाइल का सत्यापन डिजिटल हस्ताक्षर है कि यह प्रामाणिक है।

आप पहले से ही जानते हैं कि यदि आप इसका उपयोग करते हैं धार सत्यापन की आवश्यकता नहीं होगी, क्योंकि सत्यापन इन प्रकार के ग्राहकों के साथ डाउनलोड प्रक्रिया में शामिल है।

उदाहरण

अब डालते हैं एक व्यावहारिक उदाहरण वास्तविक मामले में सत्यापन कैसे आगे बढ़ना चाहिए। मान लें कि हम Ubunut 20.04 को डाउनलोड करना चाहते हैं और SHA256 का उपयोग करके इसकी ISO छवि को सत्यापित करते हैं:

1. आईएसओ छवि डाउनलोड करें उचित उबंटू।
2. सत्यापन फ़ाइलें डाउनलोड करें। यानी SHA256SUMS और SHA256SUMS.gpg दोनों।
3. अब आपको उस निर्देशिका से निम्नलिखित कमांड निष्पादित करनी चाहिए जहां आपने उन्हें डाउनलोड किया है (यह मानते हुए कि वे डाउनलोड में हैं) सत्यापित करें:

cd Descargas
gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092
sha256sum -c SHA256SUMS 

L परिणाम फेंके गए ये आदेश आपको सचेत नहीं करना चाहिए। दूसरा कमांड इस मामले में उबंटू क्रेडेंशियल्स के साथ हस्ताक्षर जानकारी प्रदर्शित करेगा। यदि आप एक संदेश पढ़ें «कोई संकेत नहीं है कि हस्ताक्षर स्वामी के हैं'या'कोई संकेत नहीं है कि हस्ताक्षर स्वामी के हैं" घबड़ाएं नहीं। यह आमतौर पर तब होता है जब इसे भरोसेमंद घोषित नहीं किया गया होता है। यही कारण है कि आपको यह सुनिश्चित करना चाहिए कि डाउनलोड की गई कुंजी इकाई (उबंटू डेवलपर्स के इस मामले में) से संबंधित है, और इसलिए तीसरा आदेश जो मैंने डाला है ...

चौथा आदेश आपको बताना चाहिए कि सब कुछ ठीक है या «सम मिलान»यदि आईएसओ छवि फ़ाइल को संशोधित नहीं किया गया है। अन्यथा, यह आपको सचेत करना चाहिए कि कुछ गलत है ...