Resmi web sitesinden indirilen ISO'ları doğrulamak değerli midir?


36

Varsayılan "Ubuntu Desktop" seçeneğini seçerek ISO’yu https://www.ubuntu.com/download adresinden indirdim.

Web sitesi, ubuntuyu nasıl doğrulayacağınıza dair talimatlar veren https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu sayfasını birbirine bağlar .

Bu oldukça sıkıcı görünüyor ve resmi web sitesinden indirilen ISO ile ilgili bir sorun olduğunu ne kadar gerçekçi olduğunu merak ediyorum. Doğrulama sürecinin kendisinin benim için yeni olan bir yazılımı indirmemi gerektirdiğini ve başka bir tane kapattığımda bile üzerime başka bir saldırı vektörü getirdiğimi not ediyorum.

Buna değer, ben sadece Live USB kullanmayı planlıyorum ve Ubuntu'yu tam olarak kurmayı değil. Bu bir fark yaratır mı?


8
Benim politik cevabım "YES YAP". İlk aylar önce bir kaç ay önce indirilebildiğim dışında bir şey yapmadım. Ben her zaman yazılımı veya yamaları / hata düzeltmelerini indirip değerlendiriyorum ve sadece ek adımlar ile uğraşamayacağım. Üstelik sistemlerim hiç üretim yapmıyor ve yarın "puf" yaparlarsa omuz silkmek ve devam etmek zorunda kalırım .
WinEunuuchs2Unix

14
Torrent , md5sum'u kontrol etmek istemiyorsanız bir alternatiftir. Torrent yoluyla bir dosya aldığınızda, otomatik olarak kontrol edilir :-) Torrent yöntemini kullanmak genellikle daha hızlı olur (normal indirmelere kıyasla), ancak bazı internet servis sağlayıcıları onu yalnızca yasadışı amaçlarla kullanıldığını düşündükleri için engeller. .
sudodus

2
MD5 sağlama toplamlarının büyük dosyalar üzerinde birincil kullanımı, indirilen dosyanın bütünlüğünü sağlamaktır (örneğin, transferin erken iptal edilip edilmediğini saptamak için), MITM saldırıları olasılığını azaltmak değil.
rexkogitans

1
@rackandboneman Hayır, asıl soru bu değil.
David Richerby

16
Eğlenceli gerçek: Muhtemelen tüm hayatınız boyunca sağlama toplamları hesaplamak yerine bu soruyu sormak için daha fazla zaman harcayacaksınız.
el.pescado

Yanıtlar:


57

Evet buna değer.

İndirilen bir ISO md5sum / etc'e yalnızca saniyeler sürer ve MITM vb. Tarafından saldırıya uğramadığınıza dair güvence sağlar. Bunun ötesinde, bu saniyeler harcadığınız zamanın sigortasıdır, eğer birkaç hata yaptınız ve gerekli hata ayıklama varsa hataların peşinden koşmak, indirme işleminiz nedeniyle başka hiç kimsenin karşılamadığı bir şeydir (örneğin, ağ sorunlarınız var ve bu nedenle hata ayıklamaya çalışın;

Bir şey md5sum için gereken yazılım genellikle başka bir kaynaktan olacaktır (eski sürüm, hatta zaman zaman farklı os / distro), çok küçüktür ve zaten çoğumuz için mevcut.

Dahası, yerel bir aynadan indirmeme izin veriyor, fakat md5sum'u Kanonik kaynaktan aldığım için; Aynanın onunla oynamadığı konusunda sigortalıyım. Yine çok ucuz bir sigorta bana ~ 3sn.


12
Ancak, indirme HTTPS aktarma yöntemini kullandıysa, bütün bütünlük kontrolleri çoktan gerçekleşti.
Nayuki

15
@Hayuki bu dosya, sunucu üzerinde bir şekilde zarar görmüşse (disk / FS-sürücü arızası, hatalı yansıtma vb.) Bu bütünlük kontrolleri değersizdir.
Ruslan

6
@Nayuki HTTPS üzerinden bir web sitesine girdiğinizden, PC'nizden indirdiğiniz dosyayı tutan depoya bağlantının sonuna kadar şifrelenmiş olduğu anlamına gelmez. Birkaç yıl önce Google veri merkezindeki paraşütle para birimi bağlantılarına bakın.
Bir CVn

29
Eğer birisi MITM'deyse, web sitesinde görüntülediğinizde sağlama toplamını MITM yapmadığını söyleyenler var mı? (Bir ayna kullanıyorsanız, kullanışlıdır.) Aynı varlıktan sağlama toplamı ve indirmeyi görmek çok nadir değildir.
Lan

13
ASLA bir sağlama toplamının MitM'yi tespit edeceği varsayımını yapmayın. Verilen sağlama toplamı da sahte olabilir. Doğru yol, imzayı doğrulamaktır , ancak bu GPG gerektirir (Bunu yalnızca bir kez yaptım ve yapılması çok acı verici).
Micheal Johnson,

21

Evet, indirdiğiniz resmi doğrulamanız ÇOK TAVSİYE EDİLDİ , işte bazı nedenler:

  • Sadece birkaç saniye sürüyor ve dosyanın bütünlüğünün doğru olup olmadığını söyleyebilirim, yani dosya bozuk değil. (Yaygın bir yolsuzluk sebebi, sudodus yorumundan gelen lapa lapa internet bağlantısı gibi teknik nedenlerden dolayı aktarma hatasıdır.)
  • Dosya bozuksa ve bu ISO görüntüsünü bir CD / USB sürücüsüne yazarsanız ve çalışmazsa veya yükleme sırasında başarısız olabilir, bu zaman ve CD israfına yol açar.
  • Herhangi bir ISO imgesinin veya yazılımının resmi CLEAN sürümünü (değiştirilmiş bir sürümünü değil (saldırganlar tarafından) kullandığınızdan) emin olabilirsiniz, bu rapora bakın: Köpekleri korsanlarının kötü niyetli Bitcoin madenciliği tarafından vurulduğunu izleyin

Zaten bir GNU Linux dağıtımınız varsa, md5sum , Windows kullanıyorsanız şunları kullanabilirsiniz: WinMD5Free .

Umarım yardımcı olur.


3
Pencereler için aşağıdakileri kullanabilirsiniz certutil: superuser.com/a/898377/521689
Kanchu

1
Ben de cevapladım, ancak cevabınızı yükseltiyorum çünkü soruyu çok iyi yanıtladığını ve diğer cevaplar gibi çok fazla teknik ayrıntıya girmediğinden daha fazla okuyucunun yararına olduğunu düşünüyorum.
bitool

@sudodus Ağların kendi bütünlük kontrolleri var. Hataların bunları aşması imkansız olmasa da (TCP sadece kelime takaslarını algılamayacak basit bir sağlama toplamı kullanır, ancak bağlantıların çoğu CRC kullanır), bu genellikle endişelenecek bir şey değildir.
Barmar

Saldırgan bir dosyayı bozabilirse, bir MD5 kutusundaki değeri değiştirmek de yine de erişilebilir olmalıdır.
Pascal Engeler

2

Evet öyle, ama Ubuntu olması gerekenden daha zorlaştırıyor gibi görünüyor.

En iyi durumda, anahtarı bir kez içe aktardıktan sonra sadece foo.iso ve foo.iso.sig dosyasını indirip .sig dosyasını (ya da .sig dosyasındaki kabuktaki gpg'yi kullanın) tıklayın. Bu birkaç saniye maliyeti.

Ubuntu, yalnızca dosyanın kendisi imzalanırken sha256 toplamlarını bir dosyadan kontrol etmenizi zorlayarak daha karmaşık hale getiriyor. Bu onlar için uygun, fakat kullanıcıları için daha fazla iş.

Öte yandan, dosya tam tarafından oluşturulduğunda sha256sum * >SHA256SUMS, onu kullanarak kontrol edebilir sha256 -cve OK/Bad/Not-Foundçıktı olarak alabilirsiniz .


2

Kontrol edin /proc/net/devve şu ana kadar ne kadar kötü TCP çerçevesi aldığınızı görün. Tek basamaklı bir değer görürseniz (umarım sıfırdır), okumaya devam edin. Çok fazla veya ağ hatası varsa, o zaman elbette indirmelerinizi doğrulamak için MD5 kullanın (temel nedeni araştırmayı tercih ederim, çünkü güvenilir olmayan ağ HTTP üzerinden aldığınız hiçbir şeye güvenemeyeceğiniz anlamına gelir).

İletilen tüm verileri kontrol eden TCP üzerinden indirirken, tamamen aynı boyutta bir bozuk indirme yapma şansınız çok azdır. Resmi siteden indirdiğinizden eminseniz (normal olarak HTTPS kullanıyorsanız ve sertifika denetimi geçiyorsa), indirme işleminizin tamamlandığını doğrulamak normalde yeterlidir. İyi web tarayıcıları genellikle yine de sizin için kontrol yaparlar, bekledikleri veri miktarını alamazlarsa "indirme başarısız" satırları boyunca bir şeyler söylerler; Kullanıcıya, bu durumda dosya boyutunu manuel olarak kontrol edebilirsiniz.

Elbette, bir sağlama toplamı doğrulama, indirdiğiniz dosyanın sunucuda bozuk olduğu durumlarda sizi kapsayan bir değerdir, ancak bu çok sık olmaz. Yine de, indirmenizi önemli bir şey için kullanacaksanız, bu atmaya değer bir adımdır.

@Sudodus'un dediği gibi, HTTPS yerine Bittorrent kullanmak bir başka seçenektir, çünkü torrent istemcileri web tarayıcıları gibi eksik / bozuk verilerle çalışırken çok daha iyi bir iş çıkarmaktadır.

Sağlama toplamlarının size saldırıya gerçekten engel olmadığına dikkat edin , HTTPS bunun içindir.


5
TCP sağlama toplamı, bir ISO dosyası kadar büyük bir şey için yeterince büyük değildir. Sadece 16 bit; gürültülü bir bağlantıda, bazı yolsuzlukların geçmesi için iyi bir şans var.
Mark

1
@ Büyük bir ISO için, birçok TCP sağlama toplamı olacak: verileri iletmek için gereken her TCP kesimi için bir tane.
Anthony G - Monica

3
@AnthonyGeoghegan, tam olarak. Her bölümün bozulma konusunda bağımsız bir şansı vardır ve bir ISO dosyasına kaç bölümün dahil olduğu göz önüne alındığında, bir bölümünün o bölümün sağlama toplamıyla eşleşecek şekilde zarar görmesi olasılığı oldukça yüksektir.
Mark

1
@Mark / proc / net / dev'inizi kontrol edebilir ve kaç tane kötü TCP çerçevesi aldığınızı söyleyebilir misiniz? Bilgisayarım 140 gün çalışma süresiyle 0 aldı. Yanılmıyorsam, sertifikalı Gigabit Ethernet ekipmanı, 10 ^ -10 veya daha yüksek bit hata oranı sağlar. Tabii ki, sizin "iyi bir şans" dediğiniz şeye bağlı ...
Dmitry Grigoryev

1
@Mark CRC veya benzeri olmayan hangi tür bir katman 2 kullanıyorsunuz? Ethernet sayesinde, CRC kontrollerini ve TCP kontrol toplamını elde edersiniz . Bunun için matematiği yapmadım, ama oradaki "oldukça iyi şanslara" nasıl ulaştığınızı göremiyorum.
Voo

0

Toplama kontrol etmemenin zor yolunu öğrendim. Bir indirme işlemi sırasında bozulmuş olan ve önyüklemesini alamayan veya çalıştırırken hatalara neden olan bir ISO içeren CD'yi yakardım.

Diğerlerinin dediği gibi, çok az zaman alır.


Bu deneyim ile ilgili en kötü şey, ISO’yu tekrar
yakarsanız

1
Bu yüzden RW CD ve DVD'leri kullanıyorum. :-)
fixit7

7
On yıldan fazla bir süredir hiçbir CD / DVD yazmadım. Tonlarca ucuz pendrives olduğunda yazmak ve satın almak için zaman ayırmaya değmez
phuclv

0

Bunu sadece bir kullanım durumuyla görüyorsunuz, kitlesel otomasyona sahip bir kurulumda doğrulamanıza yardımcı oluyor; görüntüyle ne yapmamız gerekiyorsa devam etmeden önce kontrolü çalıştıran komut dosyaları


0

Diğerleri, bir programcı olmama rağmen (işim ağlar üzerinden iletişimi içermiyor), teknik detaylarla ilgili cevaplar verdiler, bu yüzden kişisel bir deneyim bilmeni sağlayacağım.

Bir uzun Sık sık CD'leri yakmak için kullanıldığında bana doğru indirilmemiş ortaya çıktı bu Linux dağıtımı, ISO indirmiş etmek için zaman önce, bir zamanlar oldu. CD başarısız oldu, bu yüzden indirilen dosyayı kontrol ettim ve eşleşmedi. Böylece tekrar indirdim ve işe yaradı. Yani, bu yalnızca 15 yılda bir ileri düzey bilgisayar kullanıcısı ve programlamamdan beri oldu (11, 19 yaşından beri bilgisayar kullanıyordum ve bin diskten daha fazla yaktım). Ancak bunun olabileceğinin kanıtı.

Ayrıca bir ya da iki kez BitTorrent aracılığıyla bana da oldu, bu yüzden bu da güvenli değil. İndirilen dosyanın yeniden kontrolünü zorladığınızda, bozuk parçayı belirledi.

Sonucum, HTTP (TCP'ye güvenmek) elde ettiği kadar güvenli olabilir, ancak İnternet, cihazınızla sunucu arasında ara düğümler olduğu anlamına gelir ve yolda neler olabileceğine dair hiçbir bilgi yoktur (paketler tümüyle kaybolduğunda bile) zaman) ve bazen bilgisayarlar verilerin yanlış olduğunu söyleyemezler sanırım.

Kimse senin için belaya değip değmeyeceğine cevap veremez - bağlama bağlı ve bunu kendin için yargılayabileceğinden eminim. Benim için, çoğu zaman buna değmez. Yine de bir işletim sistemi kuracak olsam, indirilen resmi daha önce kontrol ederdim.

Not: Yalnızca bir veya iki kere bozuk bir indirme işlemi fark ettiğim gerçeği, yalnızca o zaman olduğu anlamına gelmez. Belki başka zamanlarda fark etmez, bu yüzden farketmezsiniz.

EDIT: İşyerinde daha deneyimli başka programcılarım bile vardı (hatta bir miktar öfke ile) bu veri bütünlüğü doğrulama sonuçlarının bir dosyanın aslına göre biraz aynı olup olmadığını bilmeyi mümkün kıldığını , ancak şunu biliyorum (okudum) İki dosyanın aynı karışma ile sonuçlanması, aynı oldukları anlamına gelmez - sadece farklı olmaları olası değildir. Kullanışlı olmaları, dosyalar aynı olmadığında ve özellikle çok farklı olduklarında, sonuçta elde edilen karma kodların pratikte asla aynı olmayacağıdır (bu testin başarısız olması daha az muhtemeldir). Daha az sözle - karma kodlar farklıysa, dosyaların farklı olduğunu bilirsiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.