Cómo verificar las sumas de verificación en Linux

Objetivo

Verifique la integridad de las descargas ISO usando las teclas GPG.

Distribuciones

Esto funcionará con cualquier distribución de Linux.

Requisitos

* Una instalación de Linux en funcionamiento con acceso a la raíz.
* GPG

Dificultad

Fácil

Convenciones

• # - requiere que los comandos de Linux dados se ejecuten con privilegios raíz directamente como un usuario raíz o mediante el uso de sudo dominio
• ps - Requiere que los comandos de Linux dados se ejecuten como un usuario regular no privilegiado

Introducción

Es crucial verificar sus descargas. La mayoría de las descargas se pueden verificar con una clave GPG firmada o una suma de verificación, pero pocas son tan importantes como ISOS. No fue hace tanto tiempo que Linux Mint sufrió una gran violación de seguridad y entregó la instalación corrupta ISOS.

Verificar una descarga con su tecla GPG es en realidad muy simple, por lo que no hay razón para omitirla.

Descargar un ISO

Necesita un archivo para verificar primero. Si hay un ISO que necesitas, toma eso. De lo contrario, esta guía utilizará un ISO de Debian.

Solo descargarlo con wget por simplicidad.

$ cd ~/descargas $ wget https: // cdimage.debian.org/Debian-CD/Current/AMD64/ISO-CD/Debian-8.8.0-amd64 netinst.Yo asi 

Obtener las llaves

Necesitará una clave para comparar la firma en el ISO con. GPG puede manejar eso. Debe obtener una clave del Keyserver que pertenece a los desarrolladores que crearon el archivo, en este caso, Debian, Debian.

$ GPG -Keyring de Keyserver.debian.org--recv-keys 0x673a03e4c1db921f

GPG toma tanto la dirección del KeyServer como las teclas para descargar. La clave podría identificarse mediante la ID de clave o una huella digital que se vea así; 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092.

Obtenga la suma de verificación

Cada sitio web va a colocar la suma de verificación que debería acompañar su descarga en un lugar diferente. Algunos hacen que sea más fácil de encontrar que otros.

Como muchas distribuciones, Debian los coloca en el https: // cdimage.debian.org/Debian-CD/Current/AMD64/ISO-CD/" repositorio con sus ISOs.

Los archivos no siempre se denominan iguales. Debian los llama Sha256sums y Sha256sums.firmar. Otros podrían llamarlos algo ligeramente diferente.

Si aún no lo ha hecho, descargue esos archivos.

Revise la suma de verificación

Una vez que tenga los archivos de suma de cheques, puede verificarlos con GPG. Utiliza un comando simple para verificar que coincidan con las firmas de las claves que importó.

$ GPG -VERIFY SHA256SUMS.Firmar sha256sums

Una firma válida informará una buena firma, pero también dará advertencias de que GPG puede verificar al propietario. Eso está bien.

Verifique el archivo

Finalmente está listo para verificar el archivo en sí. Utilizar el sha256sum herramienta para verificarlo con el archivo SHA256SUMS que descargó y verificó.

$ SHA256SUM -C SHA256SUMS 2> & 1 | Grep OK

Puede dejar todo después del archivo de suma de cheques, pero obtendrá un registro de basura adicional que no necesita. Solo está buscando su archivo para "OK."Si no ve nada, eso significa que la firma en el archivo no coincidía con la suma de verificación, y es malo.

Pensamientos de cierre

Comprobar las firmas de sus archivos contra una suma de verificación puede ser un dolor, pero no es tan doloroso como tener un sistema comprometido porque descargó un ISO pre-hackado o un archivo que viene con una puerta trasera complementaria.

Tutoriales de Linux relacionados:

• Cómo montar la imagen ISO en Linux
• Cosas para instalar en Ubuntu 20.04
• Cómo verificar la integridad de un ISO de distribución de Linux ..
• Cómo abrir archivos ISO en Ubuntu Linux
• Cómo hacer un USB de arranque de un ISO en Linux
• Crea Manjaro Linux Bootable USB
• Descarga de Linux
• Cosas que hacer después de instalar Ubuntu 20.04 fossa focal Linux
• Cómo encontrar archivos grandes en Linux
• La mejor distribución de Linux para desarrolladores