GNU / Linux 배포판을 다운로드하여 설치했을 것입니다. 일반적으로 많은 사용자가 아무것도 확인하지 않기로 선택합니다. ISO 이미지, 부팅 가능한 미디어에 굽고 배포 설치를 준비합니다. 기껏해야 일부는 합계를 확인하지만 합계 자체의 진위 여부는 확인하지 않습니다. 그러나 이로 인해 악의적 인 제 XNUMX 자에 의해 파일이 손상되거나 수정 될 수 있습니다.
손상된 파일로부터 사용자를 구할 수있을뿐만 아니라 일부 사이버 범죄 사용자를 감시하기 위해 특정 맬웨어 또는 백도어를 포함하도록 의도적으로 이미지를 수정했습니다. 실제로 이러한 공격 중 하나가 이러한 목적을 위해 배포판 다운로드 서버 및 기타 프로그램에서 발생한 것은 이번이 처음이 아닙니다.
전에 알아야 할 사항
아시다시피 배포판을 다운로드 할 때 여러 유형의 확인 파일이 있습니다. 그렇습니까 MD5 및 SHA. 그것들이 다른 유일한 것은 각각에 사용 된 암호화 알고리즘이지만 둘 다 동일한 목적을 제공합니다. SHA를 사용하는 것이 좋습니다.
롯 일반 파일 ISO 이미지 자체 외에도 배포판을 다운로드 할 때 찾을 수있는 내용은 다음과 같습니다.
- 배포판 이름 이미지 .iso: 배포판 자체의 ISO 이미지가 포함 된 것입니다. 매우 다른 이름을 가질 수 있습니다. 예 : ubuntu-20.04-desktop-amd64.iso. 이 경우 데스크톱 및 AMD20.04 아키텍처 (x64-86 또는 EM64T, 간단히 말해서 x64 86 비트) 용 Ubuntu 64 배포판임을 나타냅니다.
- MD5SUMS: 이미지의 체크섬을 포함합니다. 이 경우 MD5가 사용됩니다.
- MD5SUMS.gpg:이 경우 원본인지 확인하기 위해 이전 파일의 확인 디지털 서명이 포함되어 있습니다.
- SHA256SUMS: 이미지의 체크섬을 포함합니다. 이 경우 SHA256이 사용됩니다.
- SHA256SUMS.gpg:이 경우 원본인지 확인하기 위해 이전 파일의 확인 디지털 서명이 포함되어 있습니다.
이미 알고 있습니다. 토렌트 이러한 유형의 클라이언트에 대한 다운로드 프로세스에 확인이 포함되므로 확인이 필요하지 않습니다.
예
이제 넣어 보자 실용적인 예 실제 사례에서 검증이 어떻게 진행되어야하는지. Ubunut 20.04를 다운로드하고 SHA256을 사용하여 ISO 이미지를 확인한다고 가정 해 보겠습니다.
- ISO 이미지 다운로드 적절한 우분투.
- 확인 파일 다운로드. 즉, SHA256SUMS 및 SHA256SUMS.gpg입니다.
- 이제 다운로드 한 디렉토리에서 다음 명령을 실행해야합니다 (다운로드에 있다고 가정). 점검:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
롯 던져진 결과 이러한 명령은 경고하지 않아야합니다. 두 번째 명령은이 경우 Ubuntu 자격 증명과 함께 서명 정보를 표시합니다. 메시지를 읽으면«서명이 소유자의 것이라는 표시가 없습니다.»또는«서명이 소유자의 것이라는 표시가 없습니다." 공포에 질리지 말 것. 일반적으로 신뢰할 수있는 것으로 선언되지 않은 경우 발생합니다. 그렇기 때문에 다운로드 한 키가 엔터티 (이 경우 Ubuntu 개발자)에 속하는지 확인해야하며 따라서 내가 입력 한 세 번째 명령은 ...
네 번째 명령은 모든 것이 정상인지 또는«합계가 일치합니다.»ISO 이미지 파일이 수정되지 않은 경우. 그렇지 않으면 뭔가 잘못되었음을 경고해야합니다.