Probabil că ați descărcat o distribuție GNU / Linux pentru ao instala. De obicei, mulți utilizatori aleg să nu verifice nimic, descarcă doar fișierul Imagine ISO, îl ard într-un mediu bootabil și se pregătesc să instaleze distribuția lor. În cel mai bun caz, unii verifică suma, dar nu autenticitatea sumei în sine. Dar acest lucru ar putea duce la coruperea sau modificarea fișierelor de către terțe părți rău intenționate ...
Amintiți-vă că nu numai că vă poate salva de fișiere corupte, ci și că unele criminalul cibernetic Ați modificat intenționat imaginea pentru a include anumite programe malware sau ușile din spate pentru a spiona utilizatorii. De fapt, nu este prima dată când unul dintre aceste atacuri are loc pe servere de descărcare distro și alte programe în aceste scopuri.
Ce trebuie să știți înainte
Ei bine, după cum știți, atunci când descărcați distro există mai multe tipuri de fișiere de verificare. E chiar asa MD5 și SHA. Singurul lucru care variază în ele este algoritmul de criptare care a fost utilizat în fiecare dintre ele, dar ambele au același scop. De preferință, ar trebui să utilizați SHA.
L fișiere tipice pe care le puteți găsi atunci când descărcați distro, pe lângă imaginea ISO în sine sunt:
- nume-distro-imagine.iso: este cel care conține imaginea ISO a distro-ului în sine. Poate avea nume foarte diferite. De exemplu, ubuntu-20.04-desktop-amd64.iso. În acest caz, indică faptul că este distro Ubuntu 20.04 pentru desktop și pentru arhitectura AMD64 (x86-64 sau EM64T, pe scurt, x86 64-bit).
- MD5SUMS: Conține sumele de control ale imaginilor. În acest caz se folosește MD5.
- MD5SUMS.gpg: în acest caz conține semnătura digitală de verificare a fișierului anterior, pentru a verifica dacă este autentică.
- SHA256SUMS: Conține sumele de control ale imaginilor. În acest caz se folosește SHA256.
- SHA256SUMS.gpg: în acest caz conține semnătura digitală de verificare a fișierului anterior, pentru a verifica dacă este autentică.
Știți deja asta dacă descărcați folosind .torent Nu va fi necesară verificarea, deoarece verificarea este inclusă în procesul de descărcare cu aceste tipuri de clienți.
exemplu
Acum hai să punem un exemplu practic cu privire la modul în care ar trebui să se desfășoare verificarea într-un caz real. Să presupunem că dorim să descărcăm Ubunut 20.04 și să verificăm imaginea ISO utilizând SHA256:
- Descărcați imaginea ISO Ubuntu corect.
- Descărcați fișierele de verificare. Adică atât SHA256SUMS, cât și SHA256SUMS.gpg.
- Acum trebuie să executați următoarele comenzi din directorul în care le-ați descărcat (presupunând că sunt în Descărcări) în verifica:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
L rezultatele aruncate aceste comenzi nu ar trebui să vă alerteze. A doua comandă ar afișa informațiile despre semnătură cu acreditările Ubuntu în acest caz. Dacă citiți un mesaj «Nu există nicio indicație că semnătura aparține proprietarului"Sau"Nu există nicio indicație că semnătura aparține proprietarului" nu vă panicați. De obicei, se întâmplă atunci când nu a fost declarat de încredere. De aceea trebuie să fii sigur că cheia descărcată aparține entității (în acest caz a dezvoltatorilor Ubuntu) și, prin urmare, a treia comandă pe care am pus-o ...
A patra comandă ar trebui să vă spună că totul este OK sauSuma se potrivește»Dacă fișierul imagine ISO nu a fost modificat. În caz contrar, ar trebui să vă avertizeze că ceva nu este în regulă ...