Có thể bạn đã tải xuống bản phân phối GNU / Linux để cài đặt nó. Thông thường, nhiều người dùng chọn không xác minh bất cứ điều gì, họ chỉ tải xuống Hình ảnh ISO, họ ghi nó trong một phương tiện có thể khởi động và chuẩn bị cài đặt bản phân phối của họ. Tốt nhất, một số xác minh tổng nhưng không xác minh tính xác thực của chính tổng. Nhưng điều này có thể dẫn đến các tệp bị hỏng hoặc bị sửa đổi bởi các bên thứ ba độc hại ...
Hãy nhớ rằng nó không chỉ có thể cứu bạn khỏi các tệp bị hỏng mà còn có một số tội phạm mạng Bạn đã cố tình sửa đổi hình ảnh để bao gồm một số phần mềm độc hại hoặc cửa sau nhằm theo dõi người dùng. Trên thực tế, đây không phải là lần đầu tiên một trong những cuộc tấn công này xảy ra trên các máy chủ tải xuống distro và các chương trình khác cho những mục đích này.
Những gì bạn cần biết trước khi
Như bạn đã biết, khi bạn tải xuống bản phân phối sẽ có một số loại tệp xác minh. Có phải vậy không MD5 và SHA. Điều duy nhất khác nhau ở chúng là thuật toán mã hóa đã được sử dụng trong mỗi loại, nhưng cả hai đều phục vụ cùng một mục đích. Tốt nhất bạn nên sử dụng SHA.
Các các tập tin điển hình mà bạn có thể tìm thấy khi tải xuống bản phân phối, ngoài bản thân ảnh ISO, là:
- distro-name-image.iso: là tệp chứa ảnh ISO của chính bản phân phối. Nó có thể có những tên rất khác nhau. Ví dụ: ubuntu-20.04-desktop-amd64.iso. Trong trường hợp này, nó chỉ ra rằng đó là bản phân phối Ubuntu 20.04 cho máy tính để bàn và cho kiến trúc AMD64 (x86-64 hoặc EM64T, ngắn gọn là x86 64-bit).
- MD5SUMS: Chứa tổng kiểm tra của hình ảnh. Trong trường hợp này MD5 được sử dụng.
- MD5SUMS.gpg: trong trường hợp này, nó chứa chữ ký điện tử xác minh của tệp trước đó, để xác minh rằng nó là xác thực.
- SHA256SUMS: Chứa tổng kiểm tra của hình ảnh. Trong trường hợp này SHA256 được sử dụng.
- SHA256SUMS.gpg: trong trường hợp này, nó chứa chữ ký điện tử xác minh của tệp trước đó, để xác minh rằng nó là xác thực.
Bạn đã biết điều đó nếu bạn tải xuống bằng cách sử dụng dòng chảy Sẽ không cần xác minh, vì xác minh được bao gồm trong quá trình tải xuống với các loại ứng dụng khách này.
thí dụ
Bây giờ chúng ta hãy đặt một ví dụ thực tế về cách thức tiến hành xác minh trong một trường hợp thực tế. Giả sử rằng chúng tôi muốn tải xuống Ubunut 20.04 và xác minh ảnh ISO của nó bằng SHA256:
- Tải xuống hình ảnh ISO Ubuntu thích hợp.
- Tải xuống tệp xác minh. Đó là, cả SHA256SUMS và SHA256SUMS.gpg.
- Bây giờ, bạn phải thực hiện các lệnh sau từ thư mục mà bạn đã tải xuống (giả sử chúng nằm trong Tải xuống) để tra:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
Các kết quả ném những lệnh này sẽ không thông báo cho bạn. Lệnh thứ hai sẽ hiển thị thông tin chữ ký với thông tin đăng nhập Ubuntu trong trường hợp này. Nếu bạn đọc một tin nhắn «Không có dấu hiệu cho thấy chữ ký thuộc về chủ sở hữu"Hoặc là"Không có dấu hiệu cho thấy chữ ký thuộc về chủ sở hữu" không sợ hãi. Nó thường xảy ra khi nó không được tuyên bố là đáng tin cậy. Đó là lý do tại sao bạn phải chắc chắn rằng khóa đã tải xuống thuộc về thực thể (trong trường hợp này là các nhà phát triển Ubuntu), và do đó lệnh thứ ba mà tôi đã đặt ...
Lệnh thứ tư sẽ cho bạn biết rằng mọi thứ đều ổn hoặc «Tổng các trận đấu»Nếu tệp ảnh ISO chưa được sửa đổi. Nếu không, nó sẽ cảnh báo bạn rằng có điều gì đó không ổn ...