U heeft waarschijnlijk een GNU / Linux-distributie gedownload om deze te installeren. Gewoonlijk kiezen veel gebruikers ervoor om niets te verifiëren, ze downloaden gewoon het ISO-afbeelding, branden ze het op een opstartmedium en bereiden ze zich voor om hun distributie te installeren. Sommigen verifiëren in het beste geval de som, maar niet de authenticiteit van de som zelf. Maar dit kan ertoe leiden dat bestanden worden beschadigd of gewijzigd door kwaadwillende derden ...
Onthoud dat het u niet alleen kan redden van beschadigde bestanden, maar ook dat sommige cybercrimineel U hebt opzettelijk de afbeelding aangepast om bepaalde malware of achterdeurtjes op te nemen om gebruikers te bespioneren. Het is in feite niet de eerste keer dat een van deze aanvallen voor deze doeleinden plaatsvindt op distro-downloadservers en andere programma's.
Wat u eerder moet weten
Zoals u weet, zijn er bij het downloaden van de distro verschillende soorten verificatiebestanden. Is dat zo de MD5 en de SHA Het enige dat erin verschilt, is het coderingsalgoritme dat in elk van hen is gebruikt, maar beide hebben hetzelfde doel. Gebruik bij voorkeur de SHA.
De typische bestanden die je kunt vinden bij het downloaden van de distro, naast de ISO-afbeelding zelf, zijn:
- distro-naam-afbeelding.iso: is degene die de ISO-afbeelding van de distro zelf bevat. Het kan heel verschillende namen hebben. Bijvoorbeeld ubuntu-20.04-desktop-amd64.iso. In dit geval geeft het aan dat het de Ubuntu 20.04-distro is voor desktop en voor de AMD64-architectuur (x86-64 of EM64T, kortweg x86 64-bit).
- MD5SUMS: Bevat de checksums van de afbeeldingen. In dit geval wordt MD5 gebruikt.
- MD5SUMS.gpg: in dit geval bevat het de digitale handtekening ter verificatie van het vorige bestand, om te verifiëren dat het authentiek is.
- SHA256SUMS: Bevat de checksums van de afbeeldingen. In dit geval wordt SHA256 gebruikt.
- SHA256SUMS.gpg: in dit geval bevat het de digitale handtekening ter verificatie van het vorige bestand, om te verifiëren dat het authentiek is.
Dat weet je al als je downloadt met de .torrent Verificatie is niet nodig, aangezien verificatie bij dit soort clients deel uitmaakt van het downloadproces.
Ejemplo
Laten we nu zeggen een praktisch voorbeeld hoe de verificatie in een reëel geval moet verlopen. Laten we aannemen dat we Ubunut 20.04 willen downloaden en de ISO-afbeelding willen verifiëren met SHA256:
- Download de ISO-afbeelding juiste Ubuntu.
- Download verificatiebestanden Dat wil zeggen, zowel SHA256SUMS als SHA256SUMS.gpg.
- Nu moet u de volgende opdrachten uitvoeren vanuit de map waar u ze hebt gedownload (ervan uitgaande dat ze zich in Downloads bevinden) naar verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
De resultaten gegooid deze commando's zouden u niet moeten waarschuwen. De tweede opdracht zou in dit geval de handtekeninginformatie weergeven met de Ubuntu-inloggegevens. Als je een bericht leest «Er zijn geen aanwijzingen dat de handtekening van de eigenaar is'Or'Er zijn geen aanwijzingen dat de handtekening van de eigenaar is" raak niet in paniek. Het gebeurt meestal wanneer het niet als betrouwbaar is verklaard. Daarom moet je er zeker van zijn dat de gedownloade sleutel tot de entiteit behoort (in dit geval de Ubuntu-ontwikkelaars), en daarom het derde commando dat ik heb geplaatst ...
Het vierde commando zou je moeten vertellen dat alles in orde is of een «De som komt overeen»Als het ISO-afbeeldingsbestand niet is gewijzigd. Anders zou het u moeten waarschuwen dat er iets mis is ...