Pagājušajā mēnesī Linux Mint tīmekļa vietne tika uzlauzta, un tika lejupielādēts modificēts ISO, kas ietvēra backdoor. Lai gan problēma tika ātri novērsta, tas parāda, cik svarīgi ir pārbaudīt lejupielādētos Linux ISO failus, pirms tos palaižat un instalējat. Lūk, kā.
Linux distribūcijas publicē kontrolsummas, lai jūs varētu apstiprināt, ka lejupielādētie faili ir tie, par kuriem viņi apgalvo, ka tie ir, un tie bieži ir parakstīti, lai jūs varētu pārbaudīt, vai kontrolsummas pašas nav ietekmētas. Tas ir īpaši noderīgi, ja jūs lejupielādējat ISO no vietas, kas nav galvenā vietne, piemēram, trešās puses spogulis, vai izmantojot BItTorrent, kur cilvēkiem ir daudz vieglāk manipulēt ar failiem.
ISO pārbaudes process ir mazliet sarežģīts, tāpēc, pirms mēs nokļūstam precīzās darbības, precīzi paskaidrosim, ar ko process saistīts.
Process var atšķirties mazliet dažādiem ISO, taču parasti tas izriet no vispārējā modeļa. Piemēram, ir vairāki dažādu veidu kontrolsummas. Tradicionāli MD5 summas ir bijis populārākais. Tomēr SHA-256 summas tagad biežāk tiek izmantotas mūsdienu Linux sadalījumos, jo SHA-256 ir izturīgāks pret teorētiskiem uzbrukumiem. Mēs galvenokārt apspriedīsim SHA-256 summas, lai gan līdzīgs process darbosies ar MD5 summām. Daži Linux diski var arī nodrošināt SHA-1 summas, lai gan tie ir vēl retāk.
Tāpat daži distros neparaksta kontrolsummas ar PGP. Jums būs jāveic tikai 1., 2. un 5. darbība, taču process ir daudz neaizsargātāks. Galu galā, ja uzbrucējs var aizstāt ISO failu lejupielādei, tie arī var aizstāt kontrolsummu.
PGP izmantošana ir daudz drošāka, bet ne droša. Uzbrucējs vēl aizvien varētu aizstāt šo publisko atslēgu ar saviem, viņi vēl joprojām varētu ļaunprātīgi domāt, ka ISO ir legit. Tomēr, ja publiskā atslēga tiek mitināta citā serverī, tāpat kā gadījumā ar Linux Mint, tas kļūst daudz mazāk ticams (jo viņiem vajadzētu būt tikai diviem serveriem, nevis tikai vienam). Bet, ja publiskā atslēga tajā pašā serverī tiek saglabāta kā ISO un kontrolsumma, tāpat kā dažu distrotu gadījumā, tā nesniedz tik daudz drošības.
Tomēr, ja mēģināsit pārbaudīt PGP parakstu kontrolsummas failā un pēc tam validēt savu lejupielādi ar šo kontrolsummu, tas ir viss, ko jūs pamatoti varat darīt, kad gala lietotājs lejupielādē Linux ISO. Jūs joprojām esat daudz drošāks nekā cilvēki, kas neuztraucas.
Kā piemēru mēs izmantosim Linux Mint, taču jums var būt nepieciešams meklēt savu Linux izplatīšanas vietni, lai atrastu piedāvātās pārbaudes opcijas. Attiecībā uz Linux Mint divos failos tiek piedāvāti kopā ar lejupielādes spoguļu ISO lejupielādi. Lejupielādējiet ISO un pēc tam lejupielādējiet datorā "sha256sum.txt" un "sha256sum.txt.gpg" failus. Ar peles labo pogu noklikšķiniet uz failiem un atlasiet "Saglabāt saiti kā", lai tos lejupielādētu.
Jūsu Linux darbvirsmā atveriet termināla logu un lejupielādējiet PGP atslēgu. Šajā gadījumā Linux Mint PGP atslēga ir izvietota Ubuntu galvenajā serverī, un, lai to iegūtu, mums jāstrādā ar šādu komandu.
gpg --keyserver hkp: //keyserver.ubuntu.com --recv-atslēgas 0FF405B2
Jūsu Linux distro mājas lapā būs jānorāda uz jūsu nepieciešamo atslēgu.
Tagad mums ir viss, kas mums nepieciešams: ISO, kontrolsummas fails, kontrolsummas digitālā paraksta fails un PGP atslēga. Tātad, pāriet uz mapi, uz kuru tās tika lejupielādētas ...
cd ~ / lejupielādes
... un izpildiet šādu komandu, lai pārbaudītu kontrolsummas faila parakstu:
gpg --verificējiet sha256sum.txt.gpg sha256sum.txt
Ja komanda GPG ļauj jums zināt, ka lejupielādētajam sha256sum.txt failam ir "labs paraksts", jūs varat turpināt. Zemāk redzamajā ekrānuzņēmuma ceturtajā rindiņā GPG informē mūs, ka tas ir "labs paraksts", kas apgalvo, ka tas ir saistīts ar Klementa Lefebvre, Linux Mint veidotāju.
Neuztraucieties, ka atslēga nav sertificēta ar "uzticamu parakstu." Tas ir tādēļ, ka darbojas PGP šifrēšana - neesat iestatījis uzticības tīklu, importējot atslēgas no uzticamiem cilvēkiem. Šī kļūda būs ļoti izplatīta.
Visbeidzot, tagad, kad mēs zinām, ka kontrolsumma tika izveidota ar Linux Mint uzturētājiem, palaidiet šādu komandu, lai ģenerētu kontrolsummu no lejupielādētā .iso faila un salīdzinātu to ar kontrolsummas TXT failu, kuru esat lejupielādējis:
sha256sum --check sha256sum.txt
Ja esat lejupielādējis tikai vienu ISO failu, jūs redzēsiet daudz "neesošu šādu failu vai direktoriju" ziņojumu, bet jums vajadzētu redzēt "OK" ziņojumu par failu, kuru esat lejupielādējis, ja tas atbilst kontrolsummai.
Jūs varat arī palaist kontrolsummas komandas tieši .iso failā. Tas izpētīs .iso failu un izslēgs kontrolsummu.Pēc tam varat vienkārši pārbaudīt, vai tas atbilst derīgajai kontrolsummai, aplūkojot abas savas acis.
Piemēram, lai iegūtu ISO faila SHA-256 summu:
sha256sum /path/to/file.iso
Vai arī, ja jums ir md5sum vērtība un ir nepieciešams iegūt faila md5sum:
md5sum /path/to/file.iso
Salīdziniet rezultātu ar kontroles summas TXT failu, lai redzētu, vai tie atbilst.
Ja lejupielādējat Linux ISO no Windows datora, varat arī verificēt kontrolsummu, lai gan operētājsistēmai Windows nav iebūvēta nepieciešamā programmatūra. Tātad, jums būs nepieciešams lejupielādēt un instalēt atvērtā koda Gpg4win rīku.
Atrodiet savu Linux distro parakstīšanas atslēgas failu un kontrolsummas failus. Piemērs šeit mēs izmantosim Fedora. Fedora vietne nodrošina kontrolsummu lejupielādi un informē, ka mēs varam lejupielādēt Fedora parakstīšanas atslēgu no https://getfedora.org/static/fedora.gpg.
Kad esat lejupielādējis šos failus, jums būs jāinstalē paraksta atslēga, izmantojot Gpg4win iekļauto Kleopatra programmu. Uzsāciet Kleopatra un noklikšķiniet uz Fails> Importēt sertifikātus. Atlasiet .gpg failu, kuru esat lejupielādējis.
Tagad varat pārbaudīt, vai lejupielādētā kontrolsumma tika parakstīta ar vienu no importētajiem galvenajiem failiem. Lai to izdarītu, noklikšķiniet uz Faili> Atšifrēt / Verificēt failus. Atlasiet lejupielādēto kontrolsummas failu. Noņemiet atzīmi no opcijas "Ievades fails ir atdalīts paraksts" un noklikšķiniet uz "Atšifrēt / pārbaudīt".
Jūs pārliecinieties, ka redzēsit kļūdas ziņojumu, ja to izdarīsit šādā veidā, jo jums nav izdevies apstiprināt, ka šie Fedora sertifikāti patiesībā ir likumīgi. Tas ir grūts uzdevums. Tas ir veids, kā PGP ir izstrādāts, lai strādātu - jūs, piemēram, personīgi satiktu un mainītu atslēgas, un izveidojat uzticības tīklu. Lielākā daļa cilvēku to neizmanto šādā veidā.
Tomēr jūs varat apskatīt sīkāku informāciju un apstiprināt, ka kontrolsummas fails ir parakstīts ar vienu no importētajiem taustiņiem. Jebkurā gadījumā tas ir daudz labāks nekā tikai uzticama lejupielādētā ISO faila pārbaude bez pārbaudīšanas.
Tagad jums vajadzētu būt iespējai izvēlēties File> Verify Checksum Files un apstiprināt, ka kontrolsummas failā esošā informācija atbilst failam .iso. Tomēr tas mums nedarbojās, varbūt tas ir tikai veids, kā tiek noteikts Fedora kontrolsummas fails. Kad mēs to izmēģinājām ar Linux Mint sha256sum.txt failu, tā strādāja.
Ja tas nedarbojas jūsu Linux izplatīšanai pēc izvēles, šeit ir risinājums. Vispirms noklikšķiniet uz Iestatījumi> Konfigurēt Kleopatru. Atlasiet "Kriptogrāfijas operācijas", izvēlieties "File Operations" un iestatiet Kleopatra, lai izmantotu "sha256sum" kontrolsummas programmu, jo tas ir tas, ko iegūst ar šo konkrēto kontrolsummu. Ja jums ir MD5 kontrolsumma, šeit sarakstā izvēlieties "md5sum".
Tagad noklikšķiniet uz Fails> Izveidot kontrolpārbaudes failus un atlasiet lejupielādēto ISO failu. Kleopatra ģenerēs kontrolsummu no lejupielādētā .iso faila un saglabās to jaunā failā.
Jūs varat atvērt abus šos failus - lejupielādēto kontrolsummas failu un vienu, ko tikko radījāt - teksta redaktorā, piemēram, Notepad. Apstipriniet, ka kontrolsumma ir vienāda gan ar savām acīm. Ja tas ir identisks, jūs esat apstiprinājis, ka lejupielādētais ISO fails nav ticis manipulēts.
Šīs pārbaudes metodes sākotnēji nebija paredzētas aizsardzībai pret ļaunprātīgu programmatūru. Tās tika veidotas, lai apstiprinātu, ka jūsu ISO fails ir pareizi lejupielādēts un nav lejupielādes laikā bojāts, tāpēc jūs varat to sadedzināt un izmantot, neraizējoties. Viņi nav pilnīgi droši risinājumi, jo jums ir jāuzticas lejupielādētajai PGP atslēgai. Tomēr tas joprojām nodrošina daudz lielāku ticamību nekā vienkārši izmantojot ISO failu, to vispār nekontrolējot.
Attēlu kredīts: Eduardo Quagliato par Flickr
