あなたはおそらくそれをインストールするためにGNU / Linuxディストリビューションをダウンロードしたでしょう。 通常、多くのユーザーは何も確認しないことを選択し、ダウンロードするだけです。 ISO画像、起動可能なメディアでそれを焼き、それらのディストリビューションをインストールする準備をします。 せいぜい、合計を検証するものもありますが、合計自体の信憑性は検証しません。 しかし、これは悪意のある第三者によってファイルが破損または変更される可能性があります...
破損したファイルからあなたを救うことができるだけでなく、いくつかのことも覚えておいてください サイバー犯罪者 ユーザーをスパイするために特定のマルウェアやバックドアを含めるように意図的に画像を変更しました。 実際、これらの目的のディストリビューションダウンロードサーバーやその他のプログラムでこれらの攻撃のXNUMXつが発生したのはこれが初めてではありません。
あなたが前に知る必要があること
ご存知のように、ディストリビューションをダウンロードすると、いくつかの種類の検証ファイルがあります。 そうですか MD5とSHA。 それらで異なるのは、それぞれで使用されている暗号化アルゴリズムだけですが、どちらも同じ目的を果たします。 できればSHAを使用する必要があります。
たくさん 典型的なファイル ISOイメージ自体に加えて、ディストリビューションをダウンロードするときに見つけることができるものは次のとおりです。
- distro-name-image.iso:は、ディストリビューション自体のISOイメージを含むものです。 それは非常に異なる名前を持つことができます。 たとえば、ubuntu-20.04-desktop-amd64.isoです。 この場合、デスクトップおよびAMD20.04アーキテクチャ(x64-86またはEM64T、つまりx64 86ビット)用のUbuntu64ディストリビューションであることを示しています。
- MD5SUMS:画像のチェックサムが含まれています。 この場合、MD5が使用されます。
- MD5SUMS.gpg:この場合、それが本物であることを検証するために、前のファイルの検証デジタル署名が含まれています。
- SHA256SUMS:画像のチェックサムが含まれています。 この場合、SHA256が使用されます。
- SHA256SUMS.GPG。:この場合、それが本物であることを検証するために、前のファイルの検証デジタル署名が含まれています。
を使用してダウンロードする場合は、すでに知っています トレント これらのタイプのクライアントのダウンロードプロセスには検証が含まれているため、検証する必要はありません。
Ejemplo
さあ入れましょう 実用例 実際のケースで検証をどのように進めるかについて。 Ubunut 20.04をダウンロードし、SHA256を使用してそのISOイメージを検証するとします。
- ISOイメージをダウンロードする 適切なUbuntu。
- 検証ファイルをダウンロードする。 つまり、SHA256SUMSとSHA256SUMS.gpgの両方です。
- 次に、ダウンロードしたディレクトリから次のコマンドを実行する必要があります(ダウンロードにあると仮定)。 確認する:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
たくさん スローされた結果 これらのコマンドは警告を発するべきではありません。 この場合、XNUMX番目のコマンドはUbuntu資格情報を含む署名情報を表示します。 メッセージを読んだら«署名が所有者のものであるという兆候はありません»または«署名が所有者のものであるという兆候はありません" パニックにならない。 これは通常、信頼できると宣言されていない場合に発生します。 そのため、ダウンロードしたキーがエンティティ(この場合はUbuntu開発者)に属していることを確認する必要があります。したがって、XNUMX番目のコマンドを...
XNUMX番目のコマンドは、すべてがOKまたは«であることを通知する必要があります。合計が一致する»ISOイメージファイルが変更されていない場合。 それ以外の場合は、何かが間違っていることを警告する必要があります...