Resmi web sitesinden indirilen ISO'ları doğrulamak değerli midir?

Varsayılan "Ubuntu Desktop" seçeneğini seçerek ISO’yu https://www.ubuntu.com/download adresinden indirdim.

Web sitesi, ubuntuyu nasıl doğrulayacağınıza dair talimatlar veren https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu sayfasını birbirine bağlar .

Bu oldukça sıkıcı görünüyor ve resmi web sitesinden indirilen ISO ile ilgili bir sorun olduğunu ne kadar gerçekçi olduğunu merak ediyorum. Doğrulama sürecinin kendisinin benim için yeni olan bir yazılımı indirmemi gerektirdiğini ve başka bir tane kapattığımda bile üzerime başka bir saldırı vektörü getirdiğimi not ediyorum.

Buna değer, ben sadece Live USB kullanmayı planlıyorum ve Ubuntu'yu tam olarak kurmayı değil. Bu bir fark yaratır mı?

Evet buna değer.

İndirilen bir ISO md5sum / etc'e yalnızca saniyeler sürer ve MITM vb. Tarafından saldırıya uğramadığınıza dair güvence sağlar. Bunun ötesinde, bu saniyeler harcadığınız zamanın sigortasıdır, eğer birkaç hata yaptınız ve gerekli hata ayıklama varsa hataların peşinden koşmak, indirme işleminiz nedeniyle başka hiç kimsenin karşılamadığı bir şeydir (örneğin, ağ sorunlarınız var ve bu nedenle hata ayıklamaya çalışın;

Bir şey md5sum için gereken yazılım genellikle başka bir kaynaktan olacaktır (eski sürüm, hatta zaman zaman farklı os / distro), çok küçüktür ve zaten çoğumuz için mevcut.

Dahası, yerel bir aynadan indirmeme izin veriyor, fakat md5sum'u Kanonik kaynaktan aldığım için; Aynanın onunla oynamadığı konusunda sigortalıyım. Yine çok ucuz bir sigorta bana ~ 3sn.

Evet, indirdiğiniz resmi doğrulamanız ÇOK TAVSİYE EDİLDİ , işte bazı nedenler:

• Sadece birkaç saniye sürüyor ve dosyanın bütünlüğünün doğru olup olmadığını söyleyebilirim, yani dosya bozuk değil. (Yaygın bir yolsuzluk sebebi, sudodus yorumundan gelen lapa lapa internet bağlantısı gibi teknik nedenlerden dolayı aktarma hatasıdır.)
• Dosya bozuksa ve bu ISO görüntüsünü bir CD / USB sürücüsüne yazarsanız ve çalışmazsa veya yükleme sırasında başarısız olabilir, bu zaman ve CD israfına yol açar.
• Herhangi bir ISO imgesinin veya yazılımının resmi CLEAN sürümünü (değiştirilmiş bir sürümünü değil (saldırganlar tarafından) kullandığınızdan) emin olabilirsiniz, bu rapora bakın: Köpekleri korsanlarının kötü niyetli Bitcoin madenciliği tarafından vurulduğunu izleyin

Zaten bir GNU Linux dağıtımınız varsa, md5sum , Windows kullanıyorsanız şunları kullanabilirsiniz: WinMD5Free .

Umarım yardımcı olur.

Evet öyle, ama Ubuntu olması gerekenden daha zorlaştırıyor gibi görünüyor.

En iyi durumda, anahtarı bir kez içe aktardıktan sonra sadece foo.iso ve foo.iso.sig dosyasını indirip .sig dosyasını (ya da .sig dosyasındaki kabuktaki gpg'yi kullanın) tıklayın. Bu birkaç saniye maliyeti.

Ubuntu, yalnızca dosyanın kendisi imzalanırken sha256 toplamlarını bir dosyadan kontrol etmenizi zorlayarak daha karmaşık hale getiriyor. Bu onlar için uygun, fakat kullanıcıları için daha fazla iş.

Öte yandan, dosya tam tarafından oluşturulduğunda sha256sum * >SHA256SUMS, onu kullanarak kontrol edebilir sha256 -cve OK/Bad/Not-Foundçıktı olarak alabilirsiniz .

Kontrol edin /proc/net/devve şu ana kadar ne kadar kötü TCP çerçevesi aldığınızı görün. Tek basamaklı bir değer görürseniz (umarım sıfırdır), okumaya devam edin. Çok fazla veya ağ hatası varsa, o zaman elbette indirmelerinizi doğrulamak için MD5 kullanın (temel nedeni araştırmayı tercih ederim, çünkü güvenilir olmayan ağ HTTP üzerinden aldığınız hiçbir şeye güvenemeyeceğiniz anlamına gelir).

İletilen tüm verileri kontrol eden TCP üzerinden indirirken, tamamen aynı boyutta bir bozuk indirme yapma şansınız çok azdır. Resmi siteden indirdiğinizden eminseniz (normal olarak HTTPS kullanıyorsanız ve sertifika denetimi geçiyorsa), indirme işleminizin tamamlandığını doğrulamak normalde yeterlidir. İyi web tarayıcıları genellikle yine de sizin için kontrol yaparlar, bekledikleri veri miktarını alamazlarsa "indirme başarısız" satırları boyunca bir şeyler söylerler; Kullanıcıya, bu durumda dosya boyutunu manuel olarak kontrol edebilirsiniz.

Elbette, bir sağlama toplamı doğrulama, indirdiğiniz dosyanın sunucuda bozuk olduğu durumlarda sizi kapsayan bir değerdir, ancak bu çok sık olmaz. Yine de, indirmenizi önemli bir şey için kullanacaksanız, bu atmaya değer bir adımdır.

@Sudodus'un dediği gibi, HTTPS yerine Bittorrent kullanmak bir başka seçenektir, çünkü torrent istemcileri web tarayıcıları gibi eksik / bozuk verilerle çalışırken çok daha iyi bir iş çıkarmaktadır.

Sağlama toplamlarının size saldırıya gerçekten engel olmadığına dikkat edin , HTTPS bunun içindir.

Toplama kontrol etmemenin zor yolunu öğrendim. Bir indirme işlemi sırasında bozulmuş olan ve önyüklemesini alamayan veya çalıştırırken hatalara neden olan bir ISO içeren CD'yi yakardım.

Diğerlerinin dediği gibi, çok az zaman alır.

Bunu sadece bir kullanım durumuyla görüyorsunuz, kitlesel otomasyona sahip bir kurulumda doğrulamanıza yardımcı oluyor; görüntüyle ne yapmamız gerekiyorsa devam etmeden önce kontrolü çalıştıran komut dosyaları

Diğerleri, bir programcı olmama rağmen (işim ağlar üzerinden iletişimi içermiyor), teknik detaylarla ilgili cevaplar verdiler, bu yüzden kişisel bir deneyim bilmeni sağlayacağım.

Bir uzun Sık sık CD'leri yakmak için kullanıldığında bana doğru indirilmemiş ortaya çıktı bu Linux dağıtımı, ISO indirmiş etmek için zaman önce, bir zamanlar oldu. CD başarısız oldu, bu yüzden indirilen dosyayı kontrol ettim ve eşleşmedi. Böylece tekrar indirdim ve işe yaradı. Yani, bu yalnızca 15 yılda bir ileri düzey bilgisayar kullanıcısı ve programlamamdan beri oldu (11, 19 yaşından beri bilgisayar kullanıyordum ve bin diskten daha fazla yaktım). Ancak bunun olabileceğinin kanıtı.

Ayrıca bir ya da iki kez BitTorrent aracılığıyla bana da oldu, bu yüzden bu da güvenli değil. İndirilen dosyanın yeniden kontrolünü zorladığınızda, bozuk parçayı belirledi.

Sonucum, HTTP (TCP'ye güvenmek) elde ettiği kadar güvenli olabilir, ancak İnternet, cihazınızla sunucu arasında ara düğümler olduğu anlamına gelir ve yolda neler olabileceğine dair hiçbir bilgi yoktur (paketler tümüyle kaybolduğunda bile) zaman) ve bazen bilgisayarlar verilerin yanlış olduğunu söyleyemezler sanırım.

Kimse senin için belaya değip değmeyeceğine cevap veremez - bağlama bağlı ve bunu kendin için yargılayabileceğinden eminim. Benim için, çoğu zaman buna değmez. Yine de bir işletim sistemi kuracak olsam, indirilen resmi daha önce kontrol ederdim.

Not: Yalnızca bir veya iki kere bozuk bir indirme işlemi fark ettiğim gerçeği, yalnızca o zaman olduğu anlamına gelmez. Belki başka zamanlarda fark etmez, bu yüzden farketmezsiniz.

EDIT: İşyerinde daha deneyimli başka programcılarım bile vardı (hatta bir miktar öfke ile) bu veri bütünlüğü doğrulama sonuçlarının bir dosyanın aslına göre biraz aynı olup olmadığını bilmeyi mümkün kıldığını , ancak şunu biliyorum (okudum) İki dosyanın aynı karışma ile sonuçlanması, aynı oldukları anlamına gelmez - sadece farklı olmaları olası değildir. Kullanışlı olmaları, dosyalar aynı olmadığında ve özellikle çok farklı olduklarında, sonuçta elde edilen karma kodların pratikte asla aynı olmayacağıdır (bu testin başarısız olması daha az muhtemeldir). Daha az sözle - karma kodlar farklıysa, dosyaların farklı olduğunu bilirsiniz.