Έλεγχος iso για σφάλματα και αυθεντικότητα


Δεν είναι λίγες οι φορές που κατεβάζουμε μια διανομή σε μορφή ISO για να κάνουμε εγκατάσταση μέσω USB και ενώ ξεκινάει η εγκατάσταση κάποια στιγμή σταματάει η εμφανίζει σφάλμα. Θα πρέπει λοιπόν να κάνουμε έλεγχος του iso για σφάλματα και αυθεντικότητα.Πέρα απο τα σφάλματα που μπορεί να προέκυψαν κατά την λήψη του iso είναι σημαντικό να ελέγξουμε και την αυθεντικότητά του μιας και μπορεί να έχει «πειραχτεί» από κακόβουλους χρήστες, όπως για παράδειγμα είδαμε στο άρθρο «Linux Mint μολυσμένο ISO με backdoor«.

Αν θέλω λοιπόν να κατεβάσω το linuxmint θα πάω σε ένα καθρέπτη (mirror) και θα κατεβάσω το iso. Πώς μπορώ να ξέρω όμως οτι το iso είναι το σωστό και δεν το έχει πειράξει ο διαχειριστής του καθρέπτη; ; Όπως είπαμε και πριν στις 21 Φεβρουαρίου 2016 το website του linux mint παραβιάστηκε. Και οι χρήστες κατέβαζαν ένα «κακό» iso. Επίσης πως μπορώ να ξέρω ότι το iso κατέβηκε σωστά; Αν κατεβάσω το iso μέσω torrent, το αρχείο θα κατέβει σωστά. Αλλά πάλι πως ξέρω αν κατέβασα το αυθεντικό; Παρακάτω θα δούμε πώς.

Θα κατεβάσω αρχικά μια έκδοση της διανομής από ένα καθρέπτη. Μαζί θα κατεβάσω και κάποια επιπλέον αρχεία. τα αρχεία αυτά θα πρέπει να είναι στον ίδιο κατάλογο. Μπορώ να τα κατεβάσω με οποιοδήποτε τρόπο, εδώ δείχνω με το εργαλείο lftp από το Μετσόβιο.

lftp http://ftp.ntua.gr/pub/linux/linuxmint/stable/18.1/
ls
mget -c linuxmint-18.1-cinnamon-64bit.iso sha256sum.txt sha256sum.txt.gpg

Το αρχείο sha256sum.txt περιέχει «αθροίσματα ελέγχου» για τα αρχεία iso. Με την παρακάτω εντολή θα τσεκάρω αν το άθροισμα για τα iso που έχω κατεβάσει συμφωνεί. Αφού ολοκληρωθεί η λήψη των αρχείων τρέχω:

sha256sum --ignore-missing -c sha256sum.txt
linuxmint-18.1-cinnamon-64bit.iso: ΕΝΤΑΞΕΙ

Και πρέπει προφανώς να δείξει ΕΝΤΑΞΕΙ. Αλλά το αρχείο αυτό είναι ένα αρχείο κειμένου. Ένας που έχει πρόσβαση ή παραβιάσει το Μετσόβιο, μπορεί να το αλλάξει. Και δεν μπορώ μα πάρω τις τιμές από το website του mint γιατί πως ξέρω ότι δεν έχει παραβιαστεί;

Η λύση είναι να ελέγξω με ψηφιακές υπογραφές αν το αρχείο είναι εντάξει και έχει γραφτεί όντως απο την ομάδα του mint. H κάθε έκδοση linux Mint έχει ξεχωριστό signing key και θα το βρεις εδώ. Εκεί βρίσκεται και το κλειδί που ψάχνεις.

Θέλω αρχικά να γνωρίζω πως μοιάζει η υπογραφή της ομάδας ανάπτυξης (τεχνικά θέλω να πάρω το δημόσιο κλειδί) Θα δώσω την εντολή:

gpg --keyserver keyserver.ubuntu.com --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"

gpg: key A25BAE09: public key "Linux Mint ISO Signing Key <root@linuxmint.com>" imported

και έτσι θα έχω στο σύστημά μου το κλειδί της ομάδας. Εναλλακτικά

gpg --keyserver keyserver.ubuntu.com --recv-key A25BAE09
gpg --list-key --with-fingerprint A25BAE09

Αν είμαι παρανοϊκός θα τριπλοτσεκάρω αν το A25BAE09 είναι το σωστό όνομα συγκρίνοντας αυτά με άλλες οδηγίες αλλού. Τώρα που ξέρουμε το κλειδί μπορούμε να δούμε αν όντως το άθροισμα ελέγχου είναι αυτό που πραγματικά δίνει η ομάδα του Mint. Αυτό θα γίνει με την εντολή:

gpg --verify sha256sum.txt.gpg sha256sum.txt

gpg: Signature made Τετ 25 Ιαν 2017 09:06:26 μμ EET using RSA key ID A25BAE09
gpg: Good signature from "Linux Mint ISO Signing Key <root@linuxmint.com>"
gpg: ΠΡΟΕΙΔΟΠΟΙΗΣΗ: Αυτό το κλειδί δεν έχει πιστοποιηθεί με εμπιστεύσιμη υπογραφή!
gpg: Δεν υπάρχει ένδειξη ότι η υπογραφή ανήκει στον ιδιοκτήτη.
Αποτύπωμα πρωτεύων κλειδιού: 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09

Αν και το κείμενο δείχνει αρχικά ανησυχητικό είναι «Good signature» με το κλειδί «A25BAE09» και όλα είναι καλά. Απλά δεν ξέρεις τον Clem προσωπικά. Αλλά υπάρχει όντως ή είναι ένα μυθικό πρόσωπο;

Πρέπει να τα κάνω αυτά;

Αν κατεβάσεις το iso με torrent ξέρεις πως έχει κατέβει τουλάχιστον χωρίς λάθη. Αν όχι τσέκαρε το άθροισμα ελέγχου να δείς αν είναι σωστό, ειδικά αν το usb εγκατάστασης δεν ξεκινά. Τα υπόλοιπα είναι καλό για άσκηση.

Μα πρέπει να έχω ήδη εγκατεστημένο το Linux;

Αντίστοιχα πράγματα και ελέγχους μπορείς να κάνεις από οποιοδήποτε άλλο λειτουργικό.


Η σειρά άρθρων #cinnamon_linux_tips και #linuxmint_tips είναι μια σειρά μικρών και χρήσιμων συμβουλών, όπως δημοσιεύθηκαν στην κοινότητα Linux Mint και αντιγράφτηκαν εδώ με την σύμφωνη γνώμη του Διόνυσου Ασφοδελάκη (Talos)

 

Advertisements

4 thoughts on “Έλεγχος iso για σφάλματα και αυθεντικότητα

  1. Ωραίο το άρθρο σου! Πάρα πολύ σημαντικό & ενδιαφέρον! Και κυρίως για την εμπιστευτικότητα!

    Όμως με όλο τον σεβασμό κάπου μας μπερδεύεις λίγο…
    εκεί που δίνεις :
    gpg –keyserver keyserver.ubuntu.com –recv-key «27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09″

    συγνώμη αλλά το :
    27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09»
    που το βρήκες;
    Δε λίγο ξανά τον οδηγό.. ίσος μερικά πράγματα για να τα καταλάβουμε καλύτερα πρέπει να μας τα γράψεις αναλυτικότερα ^_^

    Ευχαριστούμε πάρα πολύ! 🙂

    1. Ναι έχεις δίκιο συγνώμη. Δεν έχει κάθε έκδοση φτιαχτεί με το ίδιο κλειδί. Θα πρέπει να πας στην σελίδα https://linuxmint.com/verify.php και να δεις με ποια υπογραφή έχει φτιαχτεί.

      Τώρα οι εκδόσεις 18 και 18.1 έχουν την ίδια υπογραφή. Η εκδώσεις 17.Χ έχουν διαφορετική την «E1A3 8B8F 1446 75D0 60EA 666F 3EE6 7F3D 0FF4 05B2». Αλλά ήταν λογικό να αλλάξει η υπογραφή μιας και υπήρξε η παραβίαση. Λογικά θα πρέπει και οι επόμενες εκδόσεις να χρησιμοποιούν την ίδια υπογραφή. Αλλιώς δεν έχει νόημα και δεν έχεις κάτι καλύτερο από τον md5.

      Ως προς το αναλυτικότερο έχεις δίκιο, αλλά η σειρά αυτή είναι γραμμένη για το Facebook και όχι προσαρμοσμένη στις ανάγκες ενός άρθρου για blog. Λόγω της φύσης του μέσου πρέπει να είναι σύντομα και χωρίς πολλές λεπτομέρειες. Το θέμα των υπογραφών είναι τεράστιο και ήδη αυτό το tip ήταν διπλάσιο σε μέγεθος από το ανεκτό. Μου ταιριάζει αυτό και στην τεμπέλικη μου φύση 🙂

Απορίες, παρατηρήσεις, ιδέες... Ελεύθερα ! Πες την άποψή σου... έστω και Ανώνυμα:

Εισάγετε τα παρακάτω στοιχεία ή επιλέξτε ένα εικονίδιο για να συνδεθείτε:

Λογότυπο WordPress.com

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό WordPress.com. Αποσύνδεση / Αλλαγή )

Φωτογραφία Twitter

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Twitter. Αποσύνδεση / Αλλαγή )

Φωτογραφία Facebook

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Facebook. Αποσύνδεση / Αλλαγή )

Φωτογραφία Google+

Σχολιάζετε χρησιμοποιώντας τον λογαριασμό Google+. Αποσύνδεση / Αλλαγή )

Σύνδεση με %s