Hai appena scaricato un'immagine ISO della tua distribuzione Linux preferita dal sito ufficiale o da un sito di terze parti, e adesso? Crea supporto avviabile e iniziare a installare il sistema operativo? Non aspettare. Prima di iniziare ad usarlo, si consiglia vivamente di verificare che l'ISO scaricato nel proprio sistema locale sia la copia esatta dell'ISO presente nei mirror di download. Perché il sito Web di Linux Mint è stato violato qualche anno fa e gli hacker hanno creato una ISO Linux Mint modificata, con una backdoor. Quindi, è importante verificare l'autenticità e l'integrità delle immagini ISO di Linux. Se non sai come verificare le immagini ISO in Linux, questa breve guida ti aiuterà. Continua a leggere!
Verifica le immagini ISO in Linux
Possiamo verificare le immagini ISO utilizzando il Checksum valori. Il checksum è una sequenza di lettere e numeri utilizzata per verificare la presenza di errori nei dati e verificare l'autenticità e l'integrità dei file scaricati. Esistono diversi tipi di checksum, come SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) e MD5. Le somme MD5 sono state le più popolari, ma al giorno d'oggi le somme SHA-256 sono utilizzate principalmente dalle moderne distribuzioni Linux.
Utilizzeremo due strumenti:"gpg" e "sha256" per verificare l'autenticità e l'integrità delle immagini ISO.
Scarica checksum e firme
Ai fini di questa guida, utilizzerò l'immagine ISO del server LTS di Ubuntu 18.04. Tuttavia, i passaggi indicati di seguito dovrebbero funzionare anche su altre distribuzioni Linux.
Nella parte superiore della pagina di download di Ubuntu, vedrai alcuni file extra (checksum e firme) come mostrato nell'immagine seguente.
Checksum e firma di Ubuntu 18.04
Qui, gli SHA256SUMS contiene i checksum per tutte le immagini disponibili e per SHA256SUMS.gpg file è la firma GnuPG per quel file. Usiamo questo file di firma per verifica il file di checksum nei passaggi successivi.
Scarica le immagini ISO di Ubuntu e questi due file e inseriscili tutti in una directory, ad esempio ISO .
$ ls ISO/ SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso
Come puoi vedere nell'output sopra, ho scaricato l'immagine del server LTS di Ubuntu 18.04.2 insieme ai valori di checksum e firma.
Scarica una chiave di firma valida
Ora, scarica la chiave di firma corretta usando il comando:
$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
Esempio di output:
gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 2 gpg: imported: 2
Verifica il checksum SHA-256
Successivamente verifica il file di checksum utilizzando la firma con il comando:
$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
Esempio di output:
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using DSA key 46181433FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Se vedi "Firma buona" nell'output, il file di checksum viene creato dallo sviluppatore Ubuntu e firmato dal proprietario del file chiave.
Controlla il file ISO scaricato
Quindi, andiamo avanti e controlliamo che il file ISO scaricato corrisponda al checksum. Per farlo, esegui semplicemente:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK ubuntu-18.04.2-live-server-amd64.iso: OK
Se i valori del checksum corrispondono, vedrai "OK" Messaggio. Significato:il file scaricato è legittimo e non è stato alterato o manomesso.
Se non ottieni alcun output o è diverso dall'output sopra, il file ISO è stato modificato o scaricato in modo errato. Devi scaricare nuovamente il file da una buona fonte.
Alcune distribuzioni Linux hanno incluso il valore di checksum nella pagina di download stessa. Ad esempio, Pop!_os gli sviluppatori hanno fornito i valori di checksum SHA-256 per tutte le immagini ISO nella pagina di download stessa, in modo da poter verificare rapidamente le immagini ISO.
Pop os SHA256 valore somma nella pagina di download
Dopo aver scaricato l'immagine ISO, verificala usando il comando:
$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Esempio di output:
680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Pop os SHA256 valore somma
Qui, la stringa casuale che inizia con "680elaa..." è il valore di checksum SHA-256. Confronta questo valore con il valore della somma SHA-256 fornito nella pagina dei download. Se entrambi i valori sono uguali, sei a posto! Il file ISO scaricato è legittimo e non è cambiato o modificato rispetto al suo stato originale.
Questo è il modo in cui possiamo verificare l'autenticità e l'integrità di un file ISO in Linux. Sia che scarichi ISO da fonti ufficiali o di terze parti, si consiglia sempre di fare una rapida verifica prima di utilizzarle. Spero che questo sia stato utile.
Riferimento:
- https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu