帮酷LOGO
  • 显示原文与译文双语对照的内容
文章标签:ISO  Verify  确认  校验和  


linux

上个月,mint网站被黑黑,并为下载提供了一个改进的ISO,其中包括后门。 尽管这个问题很快被修复,但是在运行之前检查下载 Linux ISO文件的重要性是很重要的。 这就是。

Linux发行版发布校验和,这样你就可以以确认下载的文件,这样你就可以以验证校验和本身。 这是特别有用的,如果你从主站点,比如第三方镜像,或者者通过bind来更新文件。

这里过程的工作原理

检查ISO的过程有点复杂,因这里在进入精确步骤之前,让我们来解释一下这个过程是什么?

  • 你将从Linux网站或者其他地方下载 Linux ISO文件。
  • 你将从发行版的Linux网站下载校验和及其数字签名。 这可能是两个单独的TXT文件,或者你可以得到一个包含两个数据块的TXT文件。
  • 你将获得属于Linux发行版的public PGP密钥。 你可以以从Linux网站或者由同一人员管理的单独的密钥服务器来获得这一点,这取决于Linux分发。
  • 你将使用PGP密钥验证在本例中创建了密钥的同一人员的数字校验和签名。 这就确认校验和本身没有被篡改。
  • 你将生成下载的ISO文件的校验和,并验证它与你下载的校验和文件是否匹配。 这将确认ISO文件未被篡改或者损坏。

这个过程对于不同的iso可能有些不同,但是通常遵循一般的Pattern 。 例如有几种不同类型的校验和。 传统上,MD5和是最受欢迎的。 然而,SHA-256 和现在更被现代Linux发行版所使用,因为 SHA-256 对理论攻击的抵抗力更强。 虽然在MD5和中有类似的过程,我们将主要讨论 SHA-256 和。 虽然一些Linux发行版甚至不太常见,但它们也可能提供 SHA-1 和。

同样,有些发行商没有用PGP签署他们的校验和。 你只需要执行步骤 1.2和 5,但是该过程更容易受到攻击。 毕竟,如果攻击者可以替换ISO文件,他们也可以替换校验和。

使用PGP更加安全,但不是万无一失。 攻击者仍然可以以用自己的方式替换 public 密钥,他们仍然可以以让你认为ISO是合法的。 但是,如果 public 密钥承载在不同的服务器上,就像with这样的( 因为他们需要 hack 两个服务器而不是一个服务器) 变得不太可以能。 但如果 public 密钥存储在与ISO和校验和相同的服务器上,那么就不提供任何安全性。

然而,如果试图验证校验和文件上的PGP签名,然后验证下载,那么就可以以合理地下载 Linux ISO 。 你还是比那些bother的人更安全。

如何在Linux上验证校验和

在这里我们将使用 Linux Mint 插件作为示例,但是你可能需要搜索你的发行版网站,以查找它提供的验证选项。 对于 Linux Mint,在下载镜像中提供了两个文件以及ISO下载。 下载 ISO,然后将" sha256sum.txt"和" sha256sum.txt.gpg"文件下载到你的计算机上。 右击这些文件并选择"将链接另存为"以下载它们。

在你的Linux桌面上,打开一个终端窗口并下载PGP密钥。 在这种情况下,to密钥的Linux PGP承载在ubuntu服务器的密钥上,我们必须运行以下命令。

gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys 0FF405B2

发行版的Linux网站将向你指出你需要的关键。

现在我们拥有了我们需要的一切: ISO,校验和文件,校验和签名文件的数字,以及PGP密钥。 接下来,把他们下载到的文件夹改为。to 。

cd ~/Downloads

。然后运行以下命令检查校验和 file:的签名

gpg --verify sha256sum.txt.gpg sha256sum.txt

如果GPG命令让你知道下载的sha256sum.txt 文件有"好签名",那么你可以继续。 在下面的屏幕截图的第四行中,iframe告诉我们这是一个"好签名",声称它与 of 。

不要担心密钥不是用"可信签名。"认证的,这是因为这是由于从信任人口导入信任的方式。 这里错误将非常常见。

最后,我们知道了 Linux Mint 维护人员创建的校验和,运行下面的命令来从下载的. iso 文件中生成校验和:

sha256sum --check sha256sum.txt

如果只下载了一个ISO文件,你将看到很多"没有此类文件或者目录"消息,但是你应该在下载的文件中看到"行"消息。

你也可以直接在. iso 文件上运行校验和命令。 它将检查. iso 文件并输出它的校验和。 你可以通过查看你的眼睛来检查它是否符合有效的校验和。

例如获取 ISO file:的SHA-256 和

sha256sum/path/to/file.iso

如果你有一个md5sum值,并且需要获取一个 file:的md5sum

md5sum/path/to/file.iso

将结果与校验和TXT文件进行比较,以查看它们是否匹配。

如何验证 Windows 上的校验和

如果你正在从 Windows 机器下载 Linux ISO,也可以以验证校验和,但 Windows 没有必要的软件。 因此,你需要下载并安装开放源码的 Gpg4win插件工具。

找到发行版密钥文件和校验和文件的Linux签名。 我们将使用Fedora作为示例。 网站提供校验和下载,告诉我们可以从下载Fedora签名密钥

下载这些文件后,你需要使用Gpg4win中包含的Kleopatra程序安装签名密钥。 启动 Kleopatra,然后单击文件> 导入证书。 选择你下载的. gpg 文件。

你现在可以检查下载的校验和文件是否已经使用你导入的某个密钥文件进行了签名。 为此,请单击文件> 解密/验证文件。 选择下载的校验和文件。 取消选中"输入文件是分离的签名"选项,然后单击"/验证。"

如果这样做,你肯定会看到错误消息,因为你没有通过确认这些Fedora证书的问题。 这是个更困难的任务。 这就是PGP设计的方式,用于你的工作和交换密钥,并将一个信任网站组合在一起。 大多数人不会以这种方式使用它。

但是,你可以查看更多详细信息,并确认校验和文件是用你导入的某个密钥签名的。 这比只信任下载的ISO文件而不用检查就好得多。

现在你应该能够选择文件> 校验校验和文件并确认校验和文件中的信息与下载的. iso 文件匹配。 但是,这并不适用于我们,也许它只是fedora文件的校验和的方式。 当我们在 Linux sha256sum.txt 文件中试用这个文件时,它确实。

如果这对于你选择的Linux发行版不适用,这里有一个解决方法。 首先,单击 Settings> 配置 Kleopatra"。 选择"加密操作"选择"文件操作"并设置Kleopatra以使用"sha256sum"校验和程序,因为这个特定的校验和是用。 如果有MD5校验和,请在下面的列表中选择"md5sum"。

点击> 文件,然后选择下载的ISO文件。 Kleopatra将从下载的. iso 文件生成校验和并将它的保存到新文件。

你可以将下载的校验和文件和你刚在文本编辑器中生成的文件( 如记事本) 打开。 确认校验和在你的眼睛中是相同的。 如果相同,你已经确认下载的ISO文件未被篡改。

这些验证方法最初不是用来保护恶意软件的。 它们被设计用来确认你的ISO文件下载正确并且在下载过程中没有损坏。 它们不是完全可靠的解决方案,因为你必须信任你下载的PGP密钥。 然而,这仍然提供了比在不进行检查的情况下使用ISO文件的更多保证。

图片信用:上的Quagliato 。



文章标签:ISO  确认  Verify  校验和  

Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语