Anasayfa » nasıl » Bir Linux ISO'nun Sağlama Toplamını Nasıl Doğrular ve Tahrif Edilmediğini Nasıl Doğrularsınız?

    Bir Linux ISO'nun Sağlama Toplamını Nasıl Doğrular ve Tahrif Edilmediğini Nasıl Doğrularsınız?

    Geçen ay, Linux Mint'in web sitesi hacklendi ve arka kapı içeren bir dosya indirildi. Sorun hızla çözülürken, çalıştırmadan ve kurmadan önce indirdiğiniz Linux ISO dosyalarını kontrol etmenin önemini gösterir. İşte nasıl.

    Linux dağıtımları sağlama toplamı yayınlar; böylece indirdiğiniz dosyaların iddia ettikleri şey olduğunu onaylayabilirsiniz ve bunlar sık ​​sık imzalanır, böylece sağlama toplamlarının değiştirilmediğini doğrulayabilirsiniz. Bu, üçüncü taraf bir ayna gibi ana siteden başka bir yerden bir ISO indirirseniz veya insanların dosyalara müdahale etmemesinin daha kolay olduğu BItTorrent aracılığıyla indirirseniz özellikle yararlıdır..

    Bu Süreç Nasıl Çalışıyor?

    Bir ISO’yu kontrol etme süreci biraz karmaşıktır, bu yüzden tam adımlara girmeden önce, sürecin tam olarak ne gerektirdiğini açıklayalım:

    1. Linux ISO dosyasını her zamanki gibi Linux dağıtımının web sitesinden veya başka bir yerinden indirebilirsiniz..
    2. Linux dağıtımının web sitesinden bir sağlama toplamı ve dijital imzasını indireceksiniz. Bunlar iki ayrı TXT dosyası olabilir veya her iki veri parçasını içeren tek bir TXT dosyası alabilirsiniz..
    3. Linux dağıtımına ait ortak bir PGP anahtarı alacaksınız. Bunu Linux dağıtımınızın web sitesinden ya da Linux dağıtımınıza bağlı olarak aynı kişiler tarafından yönetilen ayrı bir anahtar sunucudan alabilirsiniz..
    4. Sağlama toplamının dijital imzasının, bu durumda anahtarı yapan kişi tarafından, Linux dağıtımının koruyucularından oluşturulduğunu doğrulamak için PGP anahtarını kullanacaksınız. Bu, sağlama toplamının kendisinin tahrif edilmediğini doğrular.
    5. İndirilen ISO dosyanızın sağlama toplamını oluşturacak ve indirdiğiniz sağlama toplamı TXT dosyasına uygun olduğunu doğrulayacaksınız. Bu, ISO dosyasının tahrif edilmediğini veya bozulmadığını onaylar.

    İşlem, farklı ISO'lar için biraz farklılık gösterebilir, ancak genellikle bu genel kalıbı izler. Örneğin, birkaç farklı sağlama toplamı türü vardır. Geleneksel olarak, MD5 toplamları en popüler olmuştur. Bununla birlikte, SHA-256 toplamları, günümüzde Linux dağıtımları tarafından daha sık kullanılmaktadır, çünkü SHA-256 teorik saldırılara karşı daha dirençlidir. MDA toplamları için benzer bir süreç çalışsa da, öncelikle SHA-256 toplamlarını burada tartışacağız. Bazı Linux dağıtımları ayrıca daha az yaygın olmasına rağmen, SHA-1 toplamları sağlayabilir..

    Benzer şekilde, bazı dağıtımlar sağlama belgelerini PGP ile imzalamaz. Yalnızca 1, 2 ve 5. adımları uygulamanız gerekir, ancak işlem çok daha savunmasızdır. Sonuçta, eğer saldırgan indirilmek üzere ISO dosyasını değiştirebilirse, sağlama toplamını da değiştirebilir.

    PGP kullanmak çok daha güvenlidir ancak kusursuz değildir. Saldırgan, bu açık anahtarın yerini yine de kendi ile değiştirebilir, hala ISO'nun okunaklı olduğunu düşünmenize neden olabilir. Ancak, eğer genel anahtar Linux Mint'te olduğu gibi farklı bir sunucuda barındırılıyorsa, bu daha az olasıdır (çünkü sadece bir yerine iki sunucuyu kesmek zorunda kalacaklardı). Ancak açık anahtar, bazı dağıtımlarda olduğu gibi ISO ve sağlama toplamıyla aynı sunucuda depolanıyorsa, o kadar güvenlik sağlamaz.

    Yine de, bir sağlama toplamı dosyasındaki PGP imzasını doğrulamaya çalışıyorsanız ve ardından indirme işleminizi bu sağlama toplamı ile doğrulıyorsanız, Linux ISO indiren bir son kullanıcı olarak yapabileceğiniz tek şey budur. Hala rahatsız etmeyen insanlardan çok daha güvenli.

    Linux'ta bir sağlama toplamı nasıl doğrulanır

    Burada örnek olarak Linux Mint kullanacağız, ancak sunduğu doğrulama seçeneklerini bulmak için Linux dağıtımınızın web sitesinde arama yapmanız gerekebilir. Linux Mint için, ISO yansıması ile birlikte indirme aynalarında iki dosya sağlanmıştır. ISO’yu indirin ve ardından “sha256sum.txt” ve “sha256sum.txt.gpg” dosyalarını bilgisayarınıza indirin. Dosyaları sağ tıklayın ve indirmek için “Bağlantıyı Farklı Kaydet” i seçin..

    Linux masaüstünüzde bir terminal penceresi açın ve PGP anahtarını indirin. Bu durumda, Linux Mint'in PGP anahtarı Ubuntu'nun ana sunucusunda barındırılıyor ve bu komutu almak için aşağıdaki komutu çalıştırmamız gerekiyor..

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv tuşları 0FF405B2

    Linux dağıtım siteniz, ihtiyaç duyduğunuz anahtara yönlendirecek.

    Artık ihtiyacımız olan her şeye sahibiz: ISO, checksum dosyası, checksum'un dijital imza dosyası ve PGP anahtarı. Sonra, indirildikleri klasörde değişiklik yapın…

    cd ~ / İndirilenler

    … Ve sağlama toplamı dosyasının imzasını kontrol etmek için aşağıdaki komutu çalıştırın:

    gpg - sha256sum.txt.gpg sha256sum.txt dosyasını doğrulayın

    GPG komutu indirilen sha256sum.txt dosyasının "iyi bir imzası" olduğunu size bildirirse, devam edebilirsiniz. Aşağıdaki ekran görüntüsünün dördüncü satırında GPG bize bunun Linux Mint'in yaratıcısı Clement Lefebvre ile ilişkili olduğunu iddia eden “iyi bir imza” olduğunu bildirmiştir..

    Anahtarın “güvenilir imza” ile onaylanmadığından endişe etmeyin. Bu, PGP şifrelemesinin işe yarayacağından dolayı, güvenilen kişilerden anahtarlar alarak bir güven ağı kurmadınız. Bu hata çok yaygın olacak.

    Son olarak, sağlama toplamının Linux Mint yöneticileri tarafından oluşturulduğunu bildiğimize göre, indirilen .iso dosyasından bir sağlama toplamı oluşturmak için aşağıdaki komutu çalıştırın ve indirdiğiniz sağlama toplamı TXT dosyası ile karşılaştırın:

    sha256sum - sha256sum.txt dosyasını kontrol edin

    Yalnızca tek bir ISO dosyası indirdiyseniz çok fazla “böyle dosya veya dizin yok” mesajı göreceksiniz, ancak sağlama toplamı ile eşleşirse indirdiğiniz dosya için bir “Tamam” mesajı görmelisiniz..

    Checksum komutlarını doğrudan bir .iso dosyası üzerinde de çalıştırabilirsiniz. .İso dosyasını inceler ve sağlama toplamı tükürür. Daha sonra sadece her iki gözünüze bakarak geçerli sağlama toplamına uyup uymadığını kontrol edebilirsiniz..

    Örneğin, bir ISO dosyasının SHA-256 toplamını almak için:

    sha256sum /path/to/file.iso

    Veya, bir md5sum değerine sahipseniz ve bir dosyanın md5sumunu almanız gerekiyorsa:

    md5sum /path/to/file.iso

    Eşleşip eşleşmediklerini görmek için sonucu sağlama toplamı TXT dosyasıyla karşılaştırın.

    Windows'ta bir sağlama toplamı nasıl doğrulanır

    Bir Windows makinesinden bir Linux ISO yüklüyorsanız, Windows'ta gerekli yazılıma sahip olmasa da sağlama toplamını doğrulayabilirsiniz. Bu nedenle, açık kaynaklı Gpg4win aracını indirmeniz ve yüklemeniz gerekecek.

    Linux dağıtımınızın imzalama anahtar dosyasını ve sağlama toplamı dosyalarını bulun. Fedora'yı burada örnek olarak kullanacağız. Fedora'nın web sitesi sağlama toplamı indirmeleri sağlar ve Fedora imzalama anahtarını https://getfedora.org/static/fedora.gpg adresinden indirebileceğimizi söyler..

    Bu dosyaları indirdikten sonra, Gpg4win ile birlikte gelen Kleopatra programını kullanarak imzalama anahtarını yüklemeniz gerekir. Kleopatra'yı başlatın ve Dosya> Sertifikaları Al'a tıklayın. İndirdiğiniz .gpg dosyasını seçin.

    İndirilen sağlama toplamı dosyasının içe aktardığınız anahtar dosyalardan biriyle imzalanıp imzalanmadığını kontrol edebilirsiniz. Bunu yapmak için, Dosya> Şifresini Çöz / Dosyaları Doğrula'yı tıklatın. İndirilen sağlama toplamı dosyasını seçin. “Giriş dosyası ayrılmış bir imzadır” seçeneğinin işaretini kaldırın ve “Decrypt / Doğrula” yı tıklayın.

    Bu şekilde yaparsanız, bu Fedora sertifikalarının gerçekten meşru olduğunu onaylama zahmetinden geçmediğiniz için bir hata mesajı göreceğinizden emin olabilirsiniz. Bu daha zor bir görev. PGP'nin çalışması için tasarlanma şekli budur; örneğin sizlerle tanışın ve anahtar teslimi yapın, örneğin bir güven ağı oluşturun. Çoğu insan bu şekilde kullanmaz.

    Bununla birlikte, daha fazla ayrıntı görüntüleyebilir ve sağlama toplamı dosyasının içe aktardığınız anahtarlardan biriyle imzalandığını onaylayabilirsiniz. Bu zaten kontrol etmeden indirilen bir ISO dosyasına güvenmekten çok daha iyidir.

    Artık Dosya> Checksum Dosyalarını Doğrula'yı seçebilmeli ve checksum dosyasındaki bilgileri indirilen .iso dosyasıyla eşleştirebilmelisiniz. Ancak, bu bizim için işe yaramadı-belki de Fedora'nın sağlama toplamı dosyasının düzenlenme şekli. Bunu Linux Mint'in sha256sum.txt dosyasıyla denediğimizde çalıştı.

    Bu seçim Linux dağıtımınız için işe yaramazsa, işte bir geçici çözüm. İlk önce, Ayarlar> Kleopatra'yı Yapılandır öğesine tıklayın. “Kripto Operasyonları” nı seçin, “Dosya İşlemleri” öğesini seçin ve Kleopatra'yı “sha256sum” sağlama toplamı programını kullanacak şekilde ayarlayın; Bir MD5 sağlama toplamınız varsa, buradaki listede "md5sum" seçeneğini seçin..

    Şimdi, Dosya> Checksum Dosyaları Oluştur'a tıklayın ve indirdiğiniz ISO dosyanızı seçin. Kleopatra indirilen .iso dosyasından bir sağlama toplamı oluşturur ve onu yeni bir dosyaya kaydeder..

    Bu dosyaları (indirilen sağlama toplamı dosyası) ve az önce oluşturduğunuz dosyayı Notepad gibi bir metin düzenleyicide açabilirsiniz. Sağlama toplamının her ikinizin de kendi gözlerinizle aynı olduğunu onaylayın. Aynıysa, indirdiğiniz ISO dosyasının tahrif edilmediğini doğruladınız.


    Bu doğrulama yöntemleri başlangıçta kötü amaçlı yazılımlara karşı koruma amaçlı değildi. ISO dosyanızın doğru indirildiğini ve indirme sırasında bozulmadığını doğrulamak için tasarlandılar, böylece endişelenmeden yakabilir ve kullanabilirsiniz. Tamamen kusursuz olmayan bir çözüm değildir, çünkü indirdiğiniz PGP anahtarına güvenmeniz gerekir. Ancak, bu yine de bir ISO dosyasını hiç kontrol etmeden kullanmaktan çok daha fazla güvence sağlar..

    Resim Kredisi: Flickr'da Eduardo Quagliato