Как проверить ISO-образы в Linux

Вы только что загрузили ISO-образ вашего любимого дистрибутива Linux с официального или стороннего сайта, и что теперь? Создать загрузочный носитель и начать установку ОС? Нет, подождите. Прежде чем начать его использовать, настоятельно рекомендуется убедиться, что загруженный ISO в вашей локальной системе является точной копией ISO, присутствующего в зеркалах загрузки. Потому что веб-сайт Linux Mint был взломан несколько лет назад, и хакеры создали модифицированный ISO-образ Linux Mint с бэкдором. Поэтому важно проверить подлинность и целостность ваших ISO-образов Linux. Если вы не знаете, как проверить ISO-образы в Linux, вам поможет это краткое руководство. Читай дальше!

Проверка ISO-образов в Linux

Мы можем проверить ISO-образы, используя значения Контрольной суммы. Контрольная сумма — это последовательность букв и цифр, используемая для проверки данных на наличие ошибок и проверки подлинности и целостности загружаемых файлов. Существуют разные типы контрольных сумм, такие как SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) и MD5. Суммы MD5 были наиболее популярными, но в настоящее время суммы SHA-256 в основном используются современными дистрибутивами Linux.

Мы собираемся использовать два инструмента, а именно "gpg" и "sha256", чтобы проверить подлинность и целостность ISO-образов.

Загрузка контрольных сумм и подписей

Для целей данного руководства я буду использовать ISO-образ сервера Ubuntu 18.04 LTS. Однако шаги, приведенные ниже, должны работать и в других дистрибутивах Linux.

В верхней части страницы загрузки Ubuntu вы увидите несколько дополнительных файлов (контрольные суммы и подписи), как показано на следующем рисунке.

Контрольная сумма и подпись Ubuntu 18.04

Здесь файл SHA256SUMS содержит контрольные суммы для всех доступных изображений, а файл SHA256SUMS.gpg является подписью GnuPG для этого файла. Мы используем этот файл подписи для проверки файла контрольной суммы на последующих этапах.

Загрузите ISO-образы Ubuntu и эти два файла и поместите их все в каталог, например ISO.

$ ls ISO/
SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso

Как вы видите в приведенном выше выводе, я загрузил образ сервера Ubuntu 18.04.2 LTS вместе со значениями контрольной суммы и подписи.

Загрузите действительный ключ подписи

Теперь загрузите правильный ключ подписи с помощью команды:

gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092

Пример вывода:

gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported
gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys
gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 2
gpg: imported: 2

Проверьте контрольную сумму SHA-256

Затем проверьте файл контрольной суммы, используя подпись командой:

gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

Пример вывода:

gpg: Signature made Friday 15 February 2019 04:23:33 AM IST
gpg: using DSA key 46181433FBB75451
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST
gpg: using RSA key D94AA3F0EFE21092
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092

Если вы видите «Хорошая подпись» в выводе, файл контрольной суммы создан разработчиком Ubuntu и подписан владельцем файла ключа.

Проверьте загруженный файл ISO

Далее давайте проверим соответствие загруженного ISO-файла контрольной сумме. Для этого просто запустите:

$ sha256sum -c SHA256SUMS 2>&1 | grep OK
ubuntu-18.04.2-live-server-amd64.iso: OK

Если значения контрольной суммы совпадают, вы увидите сообщение ОК. Это означает, что загруженный файл является законным и не был изменен или подделан.

Если вы не получаете никаких выходных данных или они отличаются от приведенных выше, значит, файл ISO был изменен или загружен неправильно. Вам необходимо повторно загрузить файл из хорошего источника.

Некоторые дистрибутивы Linux включают значение контрольной суммы на самой странице загрузки. Например, разработчики Pop!_os предоставили значения контрольной суммы SHA-256 для всех ISO-образов на самой странице загрузки, чтобы вы могли быстро проверить ISO-образы.

Значение суммы SHA256 Pop OS на странице загрузки

После загрузки образа ISO проверьте его с помощью команды:

sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso

Пример вывода:

680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso

Суммарное значение SHA256 поп-оси

Здесь случайная строка, начинающаяся с "680elaa...", представляет собой значение контрольной суммы SHA-256. Сравните это значение со значением суммы SHA-256, указанным на странице загрузки. Если оба значения одинаковы, все готово! Загруженный ISO-файл является законным и не изменился по сравнению с исходным состоянием.

Вот как мы можем проверить подлинность и целостность файла ISO в Linux. Независимо от того, загружаете ли вы ISO-образы из официальных или сторонних источников, всегда рекомендуется провести быструю проверку перед их использованием. Надеюсь, это было полезно.

Ссылка:

• https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu