Du har sannsynligvis lastet ned en GNU / Linux-distribusjon for å installere den. Vanligvis velger mange brukere å ikke bekrefte noe, de laster bare ned ISO-bilde, brenn den i et oppstartbart medium og forbered deg på å installere distribusjonen. I beste fall verifiserer noen summen, men ikke ektheten av selve summen. Men dette kan føre til at filer blir ødelagt eller endret av ondsinnede tredjeparter ...
Husk at det ikke bare kan redde deg fra ødelagte filer, men også at noen nettkriminell Du har med vilje modifisert bildet slik at det inkluderer visse skadelige programmer eller bakdører for å spionere på brukere. Det er faktisk ikke første gang et av disse angrepene har skjedd på distro-nedlastingsservere og andre programmer for disse formålene.
Hva du trenger å vite før
Vel, som du vet, er det flere typer bekreftelsesfiler når du laster ned distro. Er det sånn MD5 og SHA. Det eneste som varierer i dem er krypteringsalgoritmen som har blitt brukt i hver av dem, men begge tjener samme formål. Du bør helst bruke SHA.
den typiske filer som du kan finne når du laster ned distro, i tillegg til selve ISO-bildet, er:
- distro-name-image.iso: er det som inneholder ISO-bildet av selve distroen. Det kan ha veldig forskjellige navn. For eksempel ubuntu-20.04-desktop-amd64.iso. I dette tilfellet indikerer det at det er Ubuntu 20.04 distro for desktop og for AMD64-arkitekturen (x86-64 eller EM64T, kort sagt x86 64-bit).
- MD5SUMS: Inneholder kontrollsummen til bildene. I dette tilfellet brukes MD5.
- MD5SUMS.gpg: i dette tilfellet inneholder den den digitale signaturen for verifisering av forrige fil, for å bekrefte at den er autentisk.
- SHA256SUMS: Inneholder kontrollsummen til bildene. I dette tilfellet brukes SHA256.
- SHA256SUMS.gpg: i dette tilfellet inneholder den den digitale signaturen for verifisering av forrige fil, for å bekrefte at den er autentisk.
Det vet du allerede hvis du laster ned med .torrent Bekreftelse er ikke nødvendig, siden bekreftelse er inkludert i nedlastingsprosessen med denne typen klienter.
Ejemplo
La oss si det et praktisk eksempel av hvordan verifiseringen skal gå frem i en reell sak. La oss anta at vi vil laste ned Ubunut 20.04 og verifisere ISO-bildet ved hjelp av SHA256:
- Last ned ISO-bildet riktig Ubuntu.
- Last ned bekreftelsesfiler. Det vil si både SHA256SUMS og SHA256SUMS.gpg.
- Nå må du utføre følgende kommandoer fra katalogen der du har lastet ned dem (forutsatt at de er i Nedlastinger) til verificar:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
den resultatene kastet disse kommandoene skal ikke varsle deg. Den andre kommandoen vil vise signaturinformasjonen med Ubuntu-legitimasjonen i dette tilfellet. Hvis du leser en melding «Det er ingen indikasjoner på at signaturen tilhører eieren'Or'Det er ingen indikasjoner på at signaturen tilhører eieren" ikke få panikk. Det skjer vanligvis når det ikke er erklært som pålitelig. Derfor må du være sikker på at den nedlastede nøkkelen tilhører enheten (i dette tilfellet av Ubuntu-utviklerne), og derfor den tredje kommandoen som jeg har satt ...
Den fjerde kommandoen skal fortelle deg at alt er OK eller en «Summen stemmer overens»Hvis ISO-bildefilen ikke er endret. Ellers bør det varsle deg om at noe er galt ...