Anda mungkin telah mengunduh distribusi GNU / Linux untuk menginstalnya. Biasanya banyak pengguna memilih untuk tidak memverifikasi apa pun, mereka hanya mengunduh Gambar ISO, mereka membakarnya dalam media yang dapat di-boot dan bersiap untuk menginstal distribusinya. Paling-paling, beberapa orang memverifikasi jumlahnya tetapi bukan keaslian dari jumlah itu sendiri. Tetapi ini dapat menyebabkan file rusak atau dimodifikasi oleh pihak ketiga yang jahat ...
Ingatlah bahwa tidak hanya dapat menyelamatkan Anda dari file yang rusak, tetapi juga beberapa kejahatan dunia maya Anda sengaja memodifikasi gambar untuk menyertakan malware atau pintu belakang tertentu untuk memata-matai pengguna. Faktanya, ini bukan pertama kalinya salah satu serangan ini terjadi pada server unduhan distro dan program lain untuk tujuan ini.
Apa yang perlu Anda ketahui sebelumnya
Nah, seperti yang kalian ketahui, saat mendownload distro tersebut terdapat beberapa jenis file verifikasi. Apakah begitu MD5 dan SHA. Satu-satunya hal yang bervariasi di dalamnya adalah algoritme enkripsi yang telah digunakan di masing-masing, tetapi keduanya memiliki tujuan yang sama. Anda sebaiknya menggunakan SHA.
Los file biasa yang dapat Anda temukan saat mengunduh distro, selain ISO image itu sendiri, adalah:
- distro-name-image.iso: adalah salah satu yang berisi citra ISO dari distro itu sendiri. Itu bisa memiliki nama yang sangat berbeda. Misalnya, ubuntu-20.04-desktop-amd64.iso. Dalam hal ini ini menunjukkan bahwa itu adalah distro Ubuntu 20.04 untuk desktop dan untuk arsitektur AMD64 (x86-64 atau EM64T, singkatnya, x86 64-bit).
- MD5SUMS: Berisi checksum gambar. Dalam hal ini MD5 digunakan.
- MD5SUMS.gpg: dalam hal ini berisi tanda tangan digital verifikasi dari file sebelumnya, untuk memverifikasi keasliannya.
- SHA256SUMS: Berisi checksum gambar. Dalam hal ini SHA256 digunakan.
- SHA256SUMS.gpg: dalam hal ini berisi tanda tangan digital verifikasi dari file sebelumnya, untuk memverifikasi keasliannya.
Anda sudah tahu bahwa jika Anda mengunduh menggunakan torrent Tidak perlu memverifikasi, karena verifikasi termasuk dalam proses pengunduhan dengan jenis klien ini.
contoh
Sekarang mari kita taruh contoh praktis tentang bagaimana proses verifikasi dalam kasus nyata. Mari kita asumsikan bahwa kita ingin mengunduh Ubunut 20.04 dan memverifikasi citra ISO-nya menggunakan SHA256:
- Unduh citra ISO Ubuntu yang tepat.
- Unduh file verifikasi. Yaitu, SHA256SUMS dan SHA256SUMS.gpg.
- Sekarang Anda harus menjalankan perintah berikut dari direktori tempat Anda mengunduhnya (dengan asumsi ada di Unduhan) ke memeriksa:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
Los hasil dilempar perintah ini seharusnya tidak mengingatkan Anda. Perintah kedua akan menampilkan informasi tanda tangan dengan kredensial Ubuntu dalam kasus ini. Jika Anda membaca pesan «Tidak ada indikasi bahwa tanda tangan itu milik pemiliknya"Atau"Tidak ada indikasi bahwa tanda tangan itu milik pemiliknya" jangan panik. Ini biasanya terjadi jika belum dinyatakan sebagai dapat dipercaya. Itulah mengapa Anda harus yakin bahwa kunci yang diunduh milik entitas (dalam hal ini, pengembang Ubuntu), dan oleh karena itu perintah ketiga yang saya letakkan ...
Perintah keempat akan memberi tahu Anda bahwa semuanya baik-baik saja atau «Jumlahnya cocok»Jika file citra ISO belum dimodifikasi. Jika tidak, itu akan mengingatkan Anda bahwa ada sesuatu yang salah ...