Проверяет ли ИСО, загруженную с официального сайта?

Я загрузил ISO из https://www.ubuntu.com/download , выбрав значение по умолчанию «Ubuntu Desktop».

Веб-сайт ссылается на страницу https://tutorials.ubuntu.com /tutorial /tutorial-how-to-verify-ubuntu , который дает инструкции по проверке ubuntu.

Это кажется довольно утомительным, и мне интересно, насколько реалистично, что есть проблема с ISO, загружаемой с официального сайта. Я отмечаю, что сам процесс проверки требует, чтобы я загрузил новое программное обеспечение, введя на меня еще один вектор атаки, даже когда я закрываю еще один.

Для чего это стоит, я планирую использовать только Live USB, а не полностью устанавливать Ubuntu. Это имеет значение?

36 голосов | спросил user1205901 8 Jam1000000amMon, 08 Jan 2018 05:31:33 +030018 2018, 05:31:33

7 ответов


57

Да, это стоит.

Требуется только секунды для md5sum /etc загруженного ISO, и это обеспечивает уверенность в том, что вы не были атакованы MITM и т. д. Кроме того, эти секунды являются страховкой для [часов] времени, потраченного впустую, если у вас было несколько бит ошибок и отлаживать необходимые ошибки чеканки, которые никто не получает из-за вашей загрузки (например, у вас есть проблемы с сетью и поэтому пытайтесь отлаживать, но сетевое соединение заполнено, потому что это то, что ошибочно было несколько бит ...). Подумайте о контрольных суммах очень дешевое страхование.

Программное обеспечение, необходимое для md5sum, будет происходить из другого источника (например, более ранняя версия, даже разные os /distro), очень мала и уже присутствует для многих /большинства из нас.

Далее он позволяет загружать из локального зеркала, но потому, что я захватываю md5sum из источника Canonical; У меня есть страховка, что зеркало не играло с этим. Снова очень дешевое страхование, которое стоит мне ~ 3 секунды.

ответил guiverc 8 Jam1000000amMon, 08 Jan 2018 05:40:18 +030018 2018, 05:40:18
21

Да, это ОЧЕНЬ РЕКОМЕНДУЕТСЯ , что вы подтвердили загруженное изображение, вот несколько причин:

  • Просто занимает несколько секунд и может сказать вам, является ли целостность файла правильной, я имею в виду, что файл не поврежден. (Общей причиной коррупции является ошибка передачи из-за технических причин, таких как слабое подключение к Интернету из комментария @sudodus.)
  • Если файл поврежден и вы записываете этот образ ISO на CD /USB-накопитель, и он не будет работать, или во время установки может выйти из строя, это приведет к пустой трате времени и компакт-дисков.
  • Вы уверены, что используете официальную версию CLEAN любого образа ISO или программного обеспечения, а не модифицированную версию (возможно, злоумышленниками), см. этот отчет: Наблюдение за собаками-пиратами, пострадавшими от заражения вирусами Bitcoin-mining

Если у вас уже есть дистрибутив GNU Linux, вы можете использовать md5sum , если вы находитесь в Windows, вы можете использовать: WinMD5Free .

Надеюсь, что это поможет.

ответил galoget 8 Jam1000000amMon, 08 Jan 2018 06:52:45 +030018 2018, 06:52:45
2

Да, но Ubuntu, кажется, делает это сложнее, чем должно быть.

В лучшем случае вы просто загрузите foo.iso и foo.iso.sig и щелкните файл .sig (или используйте gpg на оболочке в файле .sig) после того, как вы импортировали ключ один раз. Это стоит несколько секунд.

Ubuntu, похоже, делает его более сложным, заставляя вас проверять суммы sha256 из файла, пока подписан только сам файл. Это удобно для них, но больше работает для своих пользователей.

С другой стороны, когда файл был сгенерирован только с помощью sha256sum * >SHA256SUMS, вы можете проверить его, используя sha256 -c и получите OK/Bad/Not-Found как вывод.

ответил allo 9 Jpm1000000pmTue, 09 Jan 2018 19:01:55 +030018 2018, 19:01:55
2

Проверьте /proc/net/dev и посмотрите, сколько плохих кадров TCP вы получили до сих пор. Если вы видите одноразрядное значение (надеюсь, ноль), читайте дальше. Если у вас есть много или сетевые ошибки, то, во всяком случае, используйте MD5 для проверки ваших загрузок (хотя я бы скорее исследовал основную причину, поскольку ненадежная сеть означает, что вы не можете доверять чему-либо, что вы получаете через HTTP).

Когда вы загружаете TCP, который контролирует все переданные данные, очень мало шансов иметь коррумпированную загрузку с точно таким же размером. Если вы уверены, что загружаетесь с официального сайта (обычно вы используете HTTPS и пропуски проверки сертификата), проверка того, что ваша загрузка завершена, как правило, достаточно. Достойные веб-браузеры обычно делают проверку для вас в любом случае, говоря что-то вроде строки «загрузка не удалась», если они не получают ожидаемый объем данных, хотя я видел браузеры, которые просто решили сохранить неполный файл, не сказав ничего пользователю, и в этом случае вы можете вручную проверить размер файла.

Конечно, проверка контрольной суммы по-прежнему имеет значение, охватывающее вас в случаях, когда файл, который вы загружаете, поврежден на сервере, но этого не происходит слишком часто. Тем не менее, если вы собираетесь использовать свою загрузку для чего-то важного, это шаг, который стоит сделать.

Как отмечает @sudodus в комментариях, использование Bittorrent вместо HTTPS - еще один вариант, поскольку торрент-клиенты выполняют гораздо более эффективную работу при работе с неполными /поврежденными данными, как это делают веб-браузеры.

Обратите внимание, что контрольные суммы на самом деле не мешает вам атаковать, для чего HTTPS.

ответил Dmitry Grigoryev 8 Jpm1000000pmMon, 08 Jan 2018 13:21:42 +030018 2018, 13:21:42
0

Я обнаружил трудный путь, чтобы не проверять суммирование. Я бы сжег компакт-диск с ISO, который был поврежден во время загрузки, и не смог загрузить его, или при запуске он имел ошибки.

Как и другие, это занимает мало времени.

ответил fixit7 8 Jam1000000amMon, 08 Jan 2018 06:43:50 +030018 2018, 06:43:50
0

Вы видите его только с одним прецедентом, в настройке с массовой автоматизацией он помогает проверить его; скрипты, которые запускают проверку, прежде чем приступать к тому, что нам нужно делать с изображением

ответил ajax_velu 9 Jam1000000amTue, 09 Jan 2018 04:38:05 +030018 2018, 04:38:05
0

Другие дали ответы с техническими деталями, которые я забыл, хотя я программист (моя работа не связана с сетью связи), поэтому я просто дам вам знать личный опыт.

A long , когда я часто записывал компакт-диски, мне когда-то приходилось загружать этот дистрибутив Linux, который, похоже, был загружен правильно. Мне удалось сменить CD, поэтому я проверил загруженный файл, и он не совпал. Итак, я снова загрузил, и это сработало. Таким образом, это произошло только через 15 лет с тех пор, как я был продвинутым пользователем компьютера и программировал (с компьютеров 11 лет 19 лет назад использовал компьютеры, и я сжег более тысячи дисков). Но это доказательство того, что это может произойти.

Это также случилось со мной через BitTorrent один или два раза, так что это тоже не отказоустойчиво. При принудительной проверке загруженного файла он идентифицировал поврежденную часть.

Мое заключение: HTTP (полагающийся на TCP) может быть столь же безопасным, как и он, но Интернет означает, что между вашим устройством и сервером есть промежуточные узлы, и нет никаких сведений о том, что может произойти на этом пути (пакеты даже все время теряется), и иногда компьютеры не могут сказать, что данные ошибочны, я думаю.

Никто не может ответить, будет ли это проблемой для вас - это зависит от контекста, и я уверен, что вы можете судить об этом сами. Для меня это не стоит большую часть времени. Если бы я собирался установить ОС, я бы проверял загруженное изображение раньше.

Примечание: тот факт, что я один или два раза заметил коррумпированную загрузку, не означает, что это произошло только тогда. Может быть, в других случаях это не мешает, чтобы вы не заметили.

EDIT: у меня даже были другие более опытные программисты, которые работают (с некоторым возмущением), что эти хэши проверки целостности данных позволяют знать , является ли файл бит-идентичным оригиналу , но я знаю (я читал), что тот факт, что два файла приводят к одному и тому же хэшу, не означает, что они идентичны - это просто означает, что крайне маловероятно, что они разные. Способ, которым они полезны, заключается в том, что, когда файлы не идентичны, и особенно когда они сильно отличаются друг от друга, их хэш-коды практически никогда не будут одинаковыми (это даже менее вероятно, что этот тест завершится с ошибкой). В меньших словах - если хэш-коды разные, вы знаете, что файлы разные.

ответил bitoolean 8 Jpm1000000pmMon, 08 Jan 2018 18:46:32 +030018 2018, 18:46:32

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132