Как проверить контрольную сумму iso-образа Linux
Обновлено: 21.11.2024
Вы только что загрузили ISO-образ вашего любимого дистрибутива Linux с официального или стороннего сайта. Что теперь? Создать загрузочный носитель и начать установку ОС? Нет, подождите. Прежде чем начать его использовать, настоятельно рекомендуется убедиться, что загруженный ISO-образ в вашей локальной системе является точной копией ISO-образа, присутствующего на зеркалах загрузки. Потому что веб-сайт Linux Mint был взломан несколько лет назад, и хакеры создали модифицированный ISO-образ Linux Mint с бэкдором. Итак, важно проверить подлинность и целостность ваших ISO-образов Linux. Если вы не знаете, как проверить образы ISO в Linux, вам поможет это краткое руководство. Читайте дальше!
Проверка образов ISO в Linux
Мы можем проверить образы ISO, используя значения контрольной суммы. Контрольная сумма — это последовательность букв и цифр, используемая для проверки данных на наличие ошибок и подтверждения подлинности и целостности загружаемых файлов. Существуют различные типы контрольных сумм, такие как SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) и MD5. Суммы MD5 были самыми популярными, но в настоящее время суммы SHA-256 в основном используются современными дистрибутивами Linux.
Мы собираемся использовать два инструмента, а именно "gpg" и "sha256", для проверки подлинности и целостности образов ISO.
Загрузить контрольные суммы и подписи
Для целей этого руководства я буду использовать ISO-образ сервера Ubuntu 18.04 LTS. Однако приведенные ниже шаги должны работать и в других дистрибутивах Linux.
В верхней части страницы загрузки Ubuntu вы увидите несколько дополнительных файлов (контрольные суммы и подписи), как показано на следующем рисунке.
Контрольная сумма и подпись Ubuntu 18.04
Здесь файл SHA256SUMS содержит контрольные суммы для всех доступных образов, а файл SHA256SUMS.gpg является сигнатурой GnuPG для этого файла. Мы используем этот файл подписи для проверки файла контрольной суммы на последующих этапах.
Загрузите ISO-образы Ubuntu и эти два файла и поместите их все в каталог, например ISO.
Как видно из приведенного выше вывода, я загрузил образ сервера Ubuntu 18.04.2 LTS вместе со значениями контрольной суммы и подписи.
Загрузить действительный ключ подписи
Теперь загрузите правильный ключ подписи с помощью команды:
Проверить контрольную сумму SHA-256
Далее проверьте файл контрольной суммы, используя подпись с помощью команды:
Если вы видите в выходных данных "Хорошая подпись", файл контрольной суммы создан разработчиком Ubuntu и подписан владельцем файла ключа.
Проверьте загруженный файл ISO
Далее давайте продолжим и проверим, что загруженный файл ISO соответствует контрольной сумме. Для этого просто запустите:
Если значения контрольной суммы совпадают, вы увидите сообщение "ОК". Это означает, что загруженный файл является законным и не подвергался изменениям или подделкам.
Если вы не получаете никаких выходных данных или выходных данных, отличных от приведенных выше, это означает, что файл ISO был изменен или неправильно загружен. Вы должны повторно загрузить файл из надежного источника.
Некоторые дистрибутивы Linux включают значение контрольной суммы на самой странице загрузки. Например, разработчики Pop!_os предоставили значения контрольной суммы SHA-256 для всех образов ISO на самой странице загрузки, чтобы вы могли быстро проверить образы ISO.
Показать значение суммы os SHA256 на странице загрузки
После загрузки образа ISO проверьте его с помощью команды:
Популярное значение суммы SHA256
Здесь случайная строка, начинающаяся с "680elaa. ", является значением контрольной суммы SHA-256. Сравните это значение со значением суммы SHA-256, указанным на странице загрузок. Если оба значения одинаковы, все готово! Загруженный файл ISO является законным, и он не изменился и не изменился по сравнению с исходным состоянием.
Вот как мы можем проверить подлинность и целостность файла ISO в Linux. Независимо от того, загружаете ли вы ISO-образы из официальных или сторонних источников, всегда рекомендуется выполнять быструю проверку перед их использованием. Надеюсь, это было полезно.
Крис Хоффман
Крис Хоффман
Главный редактор
Крис Хоффман – главный редактор How-To Geek.Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.
В прошлом месяце веб-сайт Linux Mint был взломан, и для загрузки был выложен модифицированный ISO-образ, содержащий бэкдор. Хотя проблема была устранена быстро, она демонстрирует важность проверки загружаемых ISO-файлов Linux перед их запуском и установкой. Вот как.
Дистрибутивы Linux публикуют контрольные суммы, чтобы вы могли убедиться, что загружаемые вами файлы являются теми, за кого себя выдают, и они часто подписаны, чтобы вы могли убедиться, что сами контрольные суммы не были изменены. Это особенно полезно, если вы загружаете ISO-образ откуда-то, кроме основного сайта, например, со стороннего зеркала или через BItTorrent, где людям гораздо проще вмешиваться в файлы.
Как работает этот процесс
Процесс проверки ISO немного сложен, поэтому, прежде чем мы перейдем к конкретным шагам, давайте объясним, что именно влечет за собой этот процесс:
- Как обычно, ISO-файл Linux загружается с веб-сайта дистрибутива Linux или где-либо еще.
- Вы загрузите контрольную сумму и ее цифровую подпись с веб-сайта дистрибутива Linux. Это могут быть два отдельных файла TXT или вы можете получить один файл TXT, содержащий обе части данных.
- Вы получите открытый ключ PGP, принадлежащий дистрибутиву Linux. Вы можете получить это на веб-сайте дистрибутива Linux или на отдельном сервере ключей, управляемом теми же людьми, в зависимости от вашего дистрибутива Linux.
- Вы будете использовать ключ PGP, чтобы убедиться, что цифровая подпись контрольной суммы была создана тем же человеком, который создал ключ — в данном случае, разработчиками этого дистрибутива Linux. Это подтверждает, что сама контрольная сумма не была изменена.
- Вы сгенерируете контрольную сумму загруженного ISO-файла и убедитесь, что она соответствует контрольной сумме загруженного вами TXT-файла. Это подтверждает, что файл ISO не был изменен или поврежден.
Процесс может немного отличаться для разных ISO, но обычно он следует общей схеме. Например, существует несколько различных типов контрольных сумм. Традиционно наиболее популярными были суммы MD5. Однако суммы SHA-256 теперь чаще используются современными дистрибутивами Linux, поскольку SHA-256 более устойчив к теоретическим атакам. Здесь мы в первую очередь обсудим суммы SHA-256, хотя аналогичный процесс будет работать и для сумм MD5. Некоторые дистрибутивы Linux также могут предоставлять суммы SHA-1, хотя это встречается еще реже.
Точно так же некоторые дистрибутивы не подписывают свои контрольные суммы с помощью PGP. Вам нужно будет выполнить только шаги 1, 2 и 5, но этот процесс гораздо более уязвим. В конце концов, если злоумышленник может заменить файл ISO для загрузки, он также может заменить контрольную сумму.
Использование PGP намного безопаснее, но ненадежно. Злоумышленник все еще может заменить этот открытый ключ своим собственным, он все еще может обмануть вас, заставив вас думать, что ISO является законным. Однако, если открытый ключ размещен на другом сервере, как в случае с Linux Mint, это становится гораздо менее вероятным (поскольку им придется взломать два сервера вместо одного). Но если открытый ключ хранится на том же сервере, что и ISO-образ и контрольная сумма, как в случае с некоторыми дистрибутивами, то он не обеспечивает такой безопасности.
Тем не менее, если вы пытаетесь проверить подпись PGP в файле контрольной суммы, а затем проверяете свою загрузку с помощью этой контрольной суммы, это все, что вы можете разумно сделать как конечный пользователь, загружающий ISO-образ Linux. Вы по-прежнему в гораздо большей безопасности, чем люди, которые не беспокоятся.
Как проверить контрольную сумму в Linux
В качестве примера мы будем использовать Linux Mint, но вам может потребоваться выполнить поиск на веб-сайте вашего дистрибутива Linux, чтобы найти предлагаемые варианты проверки. Для Linux Mint два файла предоставляются вместе с загрузкой ISO на зеркалах загрузки. Загрузите ISO-образ, а затем загрузите файлы «sha256sum.txt» и «sha256sum.txt.gpg» на свой компьютер. Щелкните файлы правой кнопкой мыши и выберите «Сохранить ссылку как», чтобы загрузить их.
На рабочем столе Linux откройте окно терминала и загрузите ключ PGP. В этом случае ключ PGP Linux Mint размещен на сервере ключей Ubuntu, и мы должны выполнить следующую команду, чтобы получить его.
Веб-сайт вашего дистрибутива Linux укажет вам нужный ключ.
Теперь у нас есть все необходимое: ISO-образ, файл контрольной суммы, файл цифровой подписи контрольной суммы и ключ PGP. Затем перейдите в папку, в которую они были загружены…
…и выполните следующую команду, чтобы проверить подпись файла контрольной суммы:
Если команда GPG сообщает, что загруженный файл sha256sum.txt имеет «хорошую подпись», вы можете продолжить. В четвертой строке снимка экрана ниже GPG сообщает нам, что это «хорошая подпись», которая, как утверждается, связана с Клеманом Лефевром, создателем Linux Mint.
Не беспокойтесь о том, что ключ не сертифицирован "доверенной подписью". Это связано с тем, как работает шифрование PGP: вы не создаете сеть доверия, импортируя ключи от доверенных лиц. Эта ошибка будет очень распространена.
Наконец, теперь, когда мы знаем, что контрольная сумма была создана сопровождающими Linux Mint, выполните следующую команду, чтобы сгенерировать контрольную сумму из загруженного файла .iso и сравнить ее с загруженным вами TXT-файлом контрольной суммы:
Вы увидите много сообщений "нет такого файла или каталога", если вы загрузили только один файл ISO, но вы должны увидеть сообщение "ОК" для загруженного файла, если он соответствует контрольной сумме.
Вы также можете запускать команды контрольной суммы непосредственно в файле .iso. Он проверит файл .iso и выдаст его контрольную сумму. Затем вы можете просто проверить, соответствует ли она действительной контрольной сумме, взглянув на оба глаза.
Например, чтобы получить сумму SHA-256 файла ISO:
Или, если у вас есть значение md5sum и вам нужно получить md5sum файла:
Сравните результат с TXT-файлом контрольной суммы, чтобы увидеть, совпадают ли они.
Как проверить контрольную сумму в Windows
Если вы загружаете ISO-образ Linux с компьютера с Windows, вы также можете проверить там контрольную сумму, хотя в Windows нет необходимого встроенного программного обеспечения. Итак, вам нужно скачать и установить инструмент Gpg4win с открытым исходным кодом.
После загрузки этих файлов вам необходимо установить ключ подписи с помощью программы Kleopatra, входящей в состав Gpg4win. Запустите Kleopatra и нажмите «Файл» > «Импортировать сертификаты». Выберите загруженный файл .gpg.
Теперь вы можете проверить, был ли загруженный файл контрольной суммы подписан одним из импортированных вами файлов ключей. Для этого нажмите «Файл» > «Расшифровать/проверить файлы». Выберите загруженный файл контрольной суммы. Снимите флажок «Входной файл является отдельной подписью» и нажмите «Расшифровать/проверить».
Если вы сделаете это таким образом, вы обязательно увидите сообщение об ошибке, так как вы не утруждали себя подтверждением того, что эти сертификаты Fedora действительно легитимны. Это более сложная задача. Именно так работает PGP — например, вы встречаетесь и обмениваетесь ключами лично, таким образом, вы создаете сеть доверия. Большинство людей не используют его таким образом.
Однако вы можете просмотреть дополнительные сведения и убедиться, что файл контрольной суммы был подписан одним из импортированных вами ключей. В любом случае, это намного лучше, чем просто доверять загруженному файлу ISO без проверки.
Теперь вы сможете выбрать «Файл» > «Проверить файлы контрольной суммы» и подтвердить, что информация в файле контрольной суммы соответствует загруженному файлу .iso. Однако у нас это не сработало — возможно, так устроен файл контрольной суммы Fedora. Когда мы попробовали это с файлом sha256sum.txt Linux Mint, это сработало.
Если это не работает для вашего дистрибутива Linux, есть обходной путь. Сначала нажмите «Настройки» > «Настроить Клеопатру». Выберите «Крипто-операции», выберите «Операции с файлами» и настройте Kleopatra на использование программы контрольной суммы «sha256sum», поскольку именно с ее помощью была сгенерирована эта конкретная контрольная сумма. Если у вас есть контрольная сумма MD5, выберите «md5sum» в списке здесь.
Теперь нажмите «Файл» > «Создать файлы контрольной суммы» и выберите загруженный файл ISO. Kleopatra сгенерирует контрольную сумму из загруженного файла .iso и сохранит ее в новый файл.
Вы можете открыть оба этих файла — загруженный файл контрольной суммы и только что созданный — в текстовом редакторе, таком как Блокнот. Убедитесь, что контрольная сумма идентична в обоих случаях своими глазами. Если он идентичен, вы подтверждаете, что загруженный файл ISO не был подделан.
Эти методы проверки изначально не предназначались для защиты от вредоносных программ. Они были разработаны, чтобы подтвердить, что ваш ISO-файл загружен правильно и не был поврежден во время загрузки, поэтому вы можете записать и использовать его, не беспокоясь. Они не являются полностью надежным решением, так как вы должны доверять загружаемому ключу PGP. Однако это по-прежнему обеспечивает гораздо большую уверенность, чем простое использование файла ISO без его проверки.
- › Что такое хэши MD5, SHA-1 и SHA-256 и как их проверить?
- › Как установить Arch Linux на ПК
- › Что такое контрольная сумма (и зачем она вам)?
- › Как восстановить метки панели задач в Windows 11
- › Почему прозрачные чехлы для телефонов желтеют?
- ›5 шрифтов, которые следует прекратить использовать (и лучшие альтернативы)
- › Почему не было Windows 9?
- › 5 лучших бесплатных облачных хранилищ
Контрольная сумма – это данные небольшого размера из блока цифровых данных, предназначенные для обнаружения ошибок, которые могли возникнуть при его передаче или хранении.
Итак, контрольная сумма — это длинная строка данных, содержащая различные буквы и цифры. Обычно вы найдете их при загрузке файлов из Интернета, например. Образы дистрибутивов Linux, пакеты программного обеспечения и т. д.
Чаще всего контрольные суммы используются для проверки загруженного файла на наличие повреждений.
Например, страница загрузки Ubuntu MATE содержит контрольную сумму SHA-256 для каждого доступного образа. Таким образом, после загрузки изображения вы можете сгенерировать для него контрольную сумму SHA-256 и убедиться, что значение контрольной суммы соответствует значению, указанному на сайте.
Если это не так, это означает, что целостность загруженного изображения нарушена (возможно, оно было повреждено в процессе загрузки). В этом руководстве мы будем использовать файл образа Ubuntu MATE «ubuntu-mate-16.10-desktop-amd64.iso».
Как генерируется контрольная сумма?
- Алгоритмы безопасного хеширования и варианты алгоритма (SHA-1, SHA-2 и т. д.)
Давайте посмотрим, как проверить контрольную сумму в Linux.
Установка GtkHash в Ubuntu
Чтобы установить GtkHash в вашей системе Ubuntu, просто выполните следующую команду:
Вот и все. Затем выберите алгоритмы контрольной суммы для использования:
- Перейдите в меню "Правка" > "Настройки".
- Выберите те, которые хотите использовать.
- Нажмите кнопку "Закрыть".
По умолчанию выбраны MD5, SHA-1 и SHA256.
Использование GtkHash
Использовать его довольно просто.
- Выберите файл, который хотите проверить.
- Получите значение контрольной суммы с веб-сайта и установите его в поле "Флажок".
- Нажмите кнопку Хэш.
- При этом будут сгенерированы значения контрольной суммы с использованием выбранных вами алгоритмов.
- Если какой-либо из них совпадает с флажком, рядом с ним будет отображаться небольшая галочка.
Вот пример, показывающий, как GtkHash генерирует контрольную сумму для iso-образа Ubuntu MATE (ubuntu-mate-16.10-desktop-amd64.iso):
Проверка контрольных сумм через командную строку Linux
Каждый дистрибутив Linux поставляется с инструментами для различных алгоритмов контрольной суммы. Вы можете генерировать и проверять контрольные суммы с ними. Инструменты командной строки для контрольной суммы:
- Инструмент контрольной суммы MD5 называется md5sum .
- Инструмент контрольной суммы SHA-1 называется sha1sum .
- Инструмент контрольной суммы SHA-256 называется sha256sum .
Есть еще несколько доступных, например. sha224sum, sha384sum и т. д. Все они используют одинаковые форматы команд. Давайте рассмотрим пример с использованием sha256sum. Мы будем использовать тот же файл изображения «ubuntu-mate-16.10-desktop-amd64.iso», который мы использовали ранее.
Создание и проверка контрольной суммы SHA256 с помощью sha256sum
Сначала перейдите в каталог, где хранится образ .iso:
Теперь, чтобы сгенерировать контрольную сумму SHA-256, введите следующую команду:
Вы увидите контрольную сумму SHA-256 в окне терминала! Легко, не так ли?
Если сгенерированная контрольная сумма совпадает с контрольной суммой, указанной на странице загрузки Ubuntu MATE, это будет означать, что данные не были изменены во время загрузки файла — другими словами, загруженный файл не поврежден.
Другие упомянутые инструменты работают аналогично.
Насколько точно это работает?
Если вам интересно, насколько точно эти контрольные суммы обнаруживают поврежденные файлы — если вы удалите или измените хотя бы один символ в любом из текстовых файлов внутри iso-образа, алгоритм контрольной суммы сгенерирует совершенно другое значение для этого измененного изображения. И это определенно не будет соответствовать контрольной сумме, указанной на странице загрузки.
У вас есть контрольная сумма?
Одним из предлагаемых шагов при установке Linux является проверка контрольной суммы ISO-образа Linux. Вы всегда выполняете этот шаг или делаете его только тогда, когда что-то идет не так с установкой?
Было ли это руководство полезным? Если у вас есть какие-либо вопросы, дайте нам знать! А если вам нужно подобное руководство для чего-то другого, свяжитесь с нами, и мы всегда готовы помочь.
Хотя это и не является обязательным, вы всегда должны проверять контрольные суммы загруженного ISO-образа Linux. Вот как это сделать.
Хотя вы можете просто загрузить ISO-образ Linux и загрузить его, можете ли вы быть уверены, что это правильный файл? С помощью нескольких простых шагов вы можете проверить целостность любого Linux ISO. Вот как это сделать (и почему вы должны это делать).
Почему следует проверять файлы ISO
В большинстве случаев можно просто загрузить ISO-образ и установить дистрибутив Linux. На стороне сервера файл ISO может быть поврежден, что приведет к ошибкам при попытке установки. Почему это произошло?
Файл на удаленном сервере или торренте может быть каким-то образом поврежден. Атака «человек посередине» могла даже заменить ISO-образ поддельной версией, которая поставит под угрозу ваш компьютер при его установке, и вы даже не узнаете об этом, пока не станет слишком поздно.
По этим причинам производители дистрибутивов Linux и другие загрузки с открытым исходным кодом будут отображать контрольную сумму в текстовом файле, который вы можете использовать для проверки целостности ваших загрузок и убедиться, что они именно то, что вам нужно. В других случаях они просто отображают контрольные суммы на своем веб-сайте рядом с загрузками.
Отображение контрольной суммы файла
Чтобы отобразить контрольную сумму загруженного файла, используйте соответствующую команду в зависимости от контрольной суммы, которую разработчики использовали на своем веб-сайте. Используются два основных формата контрольных сумм: MD5 и SHA256.
Чтобы вычислить контрольную сумму MD5 для загруженного файла ISO, используйте команду md5sum.
Для контрольной суммы SHA256 используйте sha256sum с тем же параметром -b. Сами по себе они отображают контрольную сумму, которую затем можно сравнить с контрольной суммой на веб-сайте дистрибутива.
Сравнение контрольных сумм
После того как вы отобразите контрольную сумму в файле ISO, сравните ее с той, которую вы получили на веб-сайте дистрибутива, просто взглянув на два числа.
Внимательно посмотрите на них, чтобы убедиться, что они точно совпадают. Если нет, значит, что-то не так с файлом, или с сайтом, с которого вы его скачали, или с тем и другим. Если у вас есть сомнения, не используйте этот ISO. Лучше перестраховаться, чем потом сожалеть.
Теперь вы знаете, что ваши загрузки безопасны
Теперь, когда вы знаете, что ваши ISO-образы — это то, что вам нужно, что вы будете с ними делать? Вы можете записать их на устройства хранения данных, такие как DVD или CD-R, но вы также можете извлечь их на свой компьютер с Linux и отобразить их содержимое.
Читайте также: