Ви, напевно, завантажили дистрибутив GNU / Linux, щоб встановити його. Зазвичай багато користувачів вирішують нічого не перевіряти, вони просто завантажують ISO-зображення, спаліть його на завантажувальному носії та підготуйтеся до встановлення їх розподілу. У кращому випадку деякі перевіряють суму, але не справжність самої суми. Але це може призвести до пошкодження чи модифікації файлів зловмисними третіми сторонами ...
Пам’ятайте, що це може не лише врятувати вас від пошкоджених файлів, але й деякі кіберзлочинця Ви навмисно змінили зображення, щоб включити певне шкідливе програмне забезпечення або задні двері для шпигунства за користувачами. Насправді це не вперше, коли одна з цих атак сталася на серверах дистрибутивних завантажень та інших програмах для цих цілей.
Що потрібно знати раніше
Ну, як відомо, під час завантаження дистрибутива існує кілька типів файлів перевірки. Чи це так MD5 та SHA. Єдине, що різниться в них, - це алгоритм шифрування, який був використаний у кожному з них, але обидва служать одній меті. Вам бажано використовувати SHA.
L типові файли які ви можете знайти під час завантаження дистрибутива, крім самого ISO-зображення, це:
- distro-name-image.iso: - це той, що містить ISO-образ самого дистрибутива. Він може мати дуже різні назви. Наприклад, ubuntu-20.04-desktop-amd64.iso. У цьому випадку це вказує, що це дистрибутив Ubuntu 20.04 для настільних ПК та для архітектури AMD64 (x86-64 або EM64T, коротше, x86 64-розрядна версія).
- MD5SUMS: Містить контрольні суми зображень. У цьому випадку використовується MD5.
- MD5SUMS.gpg: у цьому випадку він містить цифровий підпис для перевірки попереднього файлу, щоб перевірити його справжність.
- SHA256SUMS: Містить контрольні суми зображень. У цьому випадку використовується SHA256.
- SHA256SUMS.gpg: у цьому випадку він містить цифровий підпис для перевірки попереднього файлу, щоб перевірити його справжність.
Ви вже знаєте, що якщо ви завантажуєте за допомогою .торрент Перевірка не буде необхідною, оскільки перевірка включена в процес завантаження для таких типів клієнтів.
приклад
Тепер покладемо практичний приклад про те, як слід здійснювати перевірку в реальній справі. Припустимо, що ми хочемо завантажити Ubunut 20.04 і перевірити його образ ISO за допомогою SHA256:
- Завантажте ISO-образ належне Ubuntu.
- Завантажте файли підтвердження. Тобто як SHA256SUMS, так і SHA256SUMS.gpg.
- Тепер ви повинні виконати наступні команди з каталогу, куди ви їх завантажили (за умови, що вони знаходяться в Завантаженні) перевірити:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
L результати кинуто ці команди не повинні вас попереджати. Друга команда в цьому випадку відображатиме інформацію про підпис з обліковими даними Ubuntu. Якщо ви прочитали повідомлення «Нічого не вказує на те, що підпис належить власнику"Або"Нічого не вказує на те, що підпис належить власнику" без паніки. Зазвичай це трапляється, коли його не оголосили надійним. Ось чому ви повинні бути впевнені, що завантажений ключ належить сутності (в даному випадку розробникам Ubuntu), а отже, і третій команді, яку я поставив ...
Четверта команда повинна сказати вам, що все в порядку або «Сума збігається»Якщо файл зображення ISO не був змінений. В іншому випадку він повинен попередити вас, що щось не так ...