Вы только что загрузили ISO-образ вашего любимого дистрибутива Linux с официального сайта или же стороннего, и что теперь?
Создать загрузочный носитель и начать установку ОС?
Нет, подождите.
Перед началом его использования настоятельно рекомендуется убедиться, что загруженный ISO в вашей локальной системе является точной копией ISO, присутствующего в загрузочных зеркалах.
Потому что, например сайт Linux Mint был взломан несколько лет назад, и хакеры создали модифицированный ISO-образ Linux Mint с бэкдором.
Итак, важно проверить подлинность и целостность ваших образов ISO.
Если вы не знаете, как проверить образы ISO в Linux, это краткое руководство вам точно поможет.
Проверьте образы ISO в Linux
Мы можем проверить образы ISO, используя значения контрольной суммы.
Контрольная сумма – это последовательность букв и цифр, используемая для проверки данных на наличие ошибок и проверки подлинности и целостности загруженных файлов. Существуют различные типы контрольных сумм, такие как SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) и MD5.
Суммы MD5 были самыми популярными, но в настоящее время в основном используются хэшсуммы SHA-256 в современных дистрибутивах Linux.
Скачать контрольные суммы и подписи
В целях данного руководства я собираюсь использовать ISO-образ сервера Ubuntu 18.04 LTS.
Однако приведенные ниже шаги должны работать и в других дистрибутивах Linux.
В верхней части страницы загрузки Ubuntu вы увидите несколько дополнительных файлов (контрольных сумм и подписей), как показано на следующем рисунке.
Здесь файл SHA256SUMS содержит контрольные суммы для всех доступных образов, а файл SHA256SUMS.gpg является подписью GnuPG для этого файла.
Мы используем этот файл подписи для проверки файла контрольной суммы на последующих этапах.
Скачайте ISO-образы Ubuntu и эти два файла и поместите их в каталог, например ISO.
$ ls ISO/ SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso
Как видно из вышеприведенного вывода, я скачал образ сервера Ubuntu 18.04.2 LTS вместе со значениями контрольной суммы и подпись.
Скачать действующий ключ подписи
Теперь загрузите правильный ключ подписи с помощью команды:
$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
Пример вывода:
gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 2 gpg: imported: 2
Проверьте контрольную сумму SHA-256
Затем проверьте файл контрольной суммы, используя подпись командой:
$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
Пример вывода:
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using DSA key 46181433FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Если в выходных данных отображается «Good signature», файл контрольной суммы создан разработчиком Ubuntu и подписан владельцем файла ключа.
Проверьте загруженный файл ISO
Далее, давайте продолжим и проверим, что загруженный файл ISO соответствует контрольной сумме.
Для этого просто запустите:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK ubuntu-18.04.2-live-server-amd64.iso: OK
Если значения контрольной суммы совпадают, вы увидите сообщение «ОК».
Значение: загруженный файл является законным и не был изменен или подделан.
Если вы не получили никакого вывода или отличного от указанного выше, файл ISO был изменен или неправильно загружен.
Вы должны повторно загрузить файл из хорошего источника.
Некоторые дистрибутивы Linux включают значение контрольной суммы на самой странице загрузки.
Например, разработчики Pop! _Os предоставили значения контрольной суммы SHA-256 для всех образов ISO на самой странице загрузки, чтобы вы могли быстро проверить образы ISO.
После загрузки образа ISO проверьте его с помощью команды:
$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Пример вывода:
680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Здесь случайная строка, начинающаяся с «680elaa…», является значением контрольной суммы SHA-256.
Сравните ее значение со значением суммы SHA-256, приведенным на странице скачивания.
Если оба значения одинаковы, вы можете идти дальше!
Загруженный файл ISO является законным, и он не изменялся по сравнению с его исходным состоянием.
Вот как мы можем проверить подлинность и целостность файла ISO в Linux.
Загружаете ли вы ISO из официальных или сторонних источников, всегда рекомендуется сделать быструю проверку перед использованием.