Acaba de descargar una imagen ISO de su distribución de Linux favorita del sitio oficial o de un sitio de terceros, ¿ahora qué? Crear medio de arranque y empezar a instalar el sistema operativo? No, espera. Antes de comenzar a usarlo, se recomienda encarecidamente verificar que la ISO descargada en su sistema local sea la copia exacta de la ISO presente en los espejos de descarga. Porque, el sitio web de Linux Mint está pirateado Hace unos años, los piratas informáticos crearon una ISO de Linux Mint modificada, con una puerta trasera. Por lo tanto, es importante verificar la autenticidad e integridad de sus imágenes ISO de Linux. Si no sabe cómo verificar imágenes ISO en Linux, esta breve guía lo ayudará. ¡Sigue leyendo!
Verificar imágenes ISO en Linux
Podemos verificar las imágenes ISO utilizando la suma de comprobación valores. La suma de verificación es una secuencia de letras y números que se utiliza para verificar los datos en busca de errores y verificar la autenticidad e integridad de los archivos descargados. Existen diferentes tipos de sumas de verificación, como SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) y MD5. Las sumas MD5 han sido las más populares, pero hoy en día las distribuciones modernas de Linux utilizan principalmente las sumas SHA-256.
Vamos a utilizar dos herramientas, a saber, "gpg" y "sha256" para verificar la autenticidad e integridad de las imágenes ISO.
Descargar sumas de control y firmas
A los efectos de esta guía, voy a utilizar la imagen ISO del servidor Ubuntu 18.04 LTS. Sin embargo, los pasos que se indican a continuación también deberían funcionar en otras distribuciones de Linux.
Cerca de la parte superior de la página de descarga de Ubuntu, verá algunos archivos adicionales (sumas de verificación y firmas) como se muestra en la siguiente imagen.
Suma de comprobación y firma de Ubuntu 18.04
Aquí, el SHA256SUMS El archivo contiene sumas de verificación para todas las imágenes disponibles y el SHA256SUMS.gpg file es la firma GnuPG para ese archivo. Usamos este archivo de firma para verificar el archivo de suma de comprobación en los pasos siguientes.
Descargue las imágenes ISO de Ubuntu y estos dos archivos y colóquelos en un directorio, por ejemplo, ISO .
$ ls ISO/ SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso
Como puede ver en el resultado anterior, descargué la imagen del servidor Ubuntu 18.04.2 LTS junto con la suma de verificación y los valores de firma.
Descargar clave de firma válida
Ahora, descargue la clave de firma correcta usando el comando:
$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
Salida de muestra:
gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 2 gpg: imported: 2
Verificar la suma de comprobación SHA-256
A continuación, verifique el archivo de suma de comprobación utilizando la firma con el comando:
$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
Salida de muestra:
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using DSA key 46181433FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Si ve "Buena firma" en el resultado, el desarrollador de Ubuntu crea el archivo de suma de comprobación y lo firma el propietario del archivo clave.
Verifique el archivo ISO descargado
A continuación, sigamos adelante y verifiquemos que el archivo ISO descargado coincida con la suma de verificación. Para hacerlo, simplemente ejecute:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK ubuntu-18.04.2-live-server-amd64.iso: OK
Si los valores de la suma de comprobación coinciden, verá el mensaje "OK" mensaje. Significado:el archivo descargado es legítimo y no se ha alterado ni manipulado.
Si no obtiene ningún resultado o es diferente al resultado anterior, el archivo ISO se ha modificado o se ha descargado incorrectamente. Debe volver a descargar el archivo desde una buena fuente.
Algunas distribuciones de Linux han incluido el valor de la suma de comprobación en la propia página de descarga. Por ejemplo, Pop!_os los desarrolladores han proporcionado los valores de suma de comprobación SHA-256 para todas las imágenes ISO en la propia página de descarga, para que pueda verificar rápidamente las imágenes ISO.
Pop os SHA256 valor de suma en la página de descarga
Después de descargar la imagen ISO, verifíquela usando el comando:
$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Salida de muestra:
680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Pop os SHA256 valor de suma
Aquí, la cadena aleatoria que comienza con "680elaa..." es el valor de la suma de comprobación SHA-256. Compare este valor con el valor de la suma SHA-256 proporcionado en la página de descargas. Si ambos valores son iguales, ¡ya está listo! El archivo ISO descargado es legítimo y no ha cambiado ni modificado su estado original.
Así es como podemos verificar la autenticidad e integridad de un archivo ISO en Linux. Ya sea que descargue ISO de fuentes oficiales o de terceros, siempre se recomienda hacer una verificación rápida antes de usarlos. Espero que esto haya sido útil.
Referencia:
- https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu