Sie haben gerade ein ISO-Image Ihrer bevorzugten Linux-Distribution von der offiziellen Website oder einer Drittanbieter-Website heruntergeladen, was nun? Startfähiges Medium erstellen und mit der Installation des Betriebssystems beginnen? Nein, warte. Bevor Sie mit der Verwendung beginnen, wird dringend empfohlen, zu überprüfen, ob die heruntergeladene ISO in Ihrem lokalen System die exakte Kopie der ISO ist, die in den Download-Mirrors vorhanden ist. Weil die Website von Linux Mint gehackt wurde vor ein paar Jahren und die Hacker haben eine modifizierte Linux-Mint-ISO mit einer Hintertür erstellt. Daher ist es wichtig, die Authentizität und Integrität Ihrer Linux-ISO-Images zu überprüfen. Wenn Sie nicht wissen, wie man ISO-Images unter Linux verifiziert, hilft Ihnen diese kurze Anleitung. Lesen Sie weiter!
ISO-Images unter Linux überprüfen
Wir können ISO-Images anhand der Prüfsumme verifizieren Werte. Die Prüfsumme ist eine Folge von Buchstaben und Zahlen, die verwendet wird, um Daten auf Fehler zu überprüfen und die Authentizität und Integrität der heruntergeladenen Dateien zu überprüfen. Es gibt verschiedene Arten von Prüfsummen, wie SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) und MD5. MD5-Summen waren am beliebtesten, aber heutzutage werden SHA-256-Summen hauptsächlich von modernen Linux-Distributionen verwendet.
Wir werden zwei Tools verwenden, nämlich "gpg" und "sha256" um die Authentizität und Integrität der ISO-Images zu überprüfen.
Prüfsummen und Signaturen herunterladen
Für die Zwecke dieses Handbuchs werde ich das ISO-Image des Ubuntu 18.04 LTS-Servers verwenden. Die unten aufgeführten Schritte sollten jedoch auch auf anderen Linux-Distributionen funktionieren.
Oben auf der Ubuntu-Downloadseite sehen Sie einige zusätzliche Dateien (Prüfsummen und Signaturen), wie im folgenden Bild gezeigt.
Ubuntu 18.04 Prüfsumme und Signatur
Hier die SHA256SUMS Datei enthält Prüfsummen für alle verfügbaren Bilder und die SHA256SUMS.gpg file ist die GnuPG-Signatur für diese Datei. Wir verwenden diese Signaturdatei zur Verifizierung die Prüfsummendatei in den nachfolgenden Schritten.
Laden Sie die Ubuntu-ISO-Images und diese beiden Dateien herunter und legen Sie sie alle in einem Verzeichnis ab, zum Beispiel ISO .
$ ls ISO/ SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso
Wie Sie in der obigen Ausgabe sehen, habe ich das Ubuntu 18.04.2 LTS-Server-Image zusammen mit Prüfsummen- und Signaturwerten heruntergeladen.
Gültigen Signaturschlüssel herunterladen
Laden Sie nun den richtigen Signaturschlüssel mit dem Befehl herunter:
$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
Beispielausgabe:
gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 2 gpg: imported: 2
Prüfen Sie die SHA-256-Prüfsumme
Überprüfen Sie als Nächstes die Prüfsummendatei mithilfe der Signatur mit dem Befehl:
$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
Beispielausgabe:
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using DSA key 46181433FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Wenn Sie in der Ausgabe „Gute Signatur“ sehen, wurde die Prüfsummendatei vom Ubuntu-Entwickler erstellt und vom Eigentümer der Schlüsseldatei signiert.
Überprüfen Sie die heruntergeladene ISO-Datei
Lassen Sie uns als Nächstes fortfahren und überprüfen, ob die heruntergeladene ISO-Datei mit der Prüfsumme übereinstimmt. Führen Sie dazu einfach Folgendes aus:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK ubuntu-18.04.2-live-server-amd64.iso: OK
Wenn die Prüfsummenwerte übereinstimmen, sehen Sie "OK" Botschaft. Bedeutung – die heruntergeladene Datei ist legitim und wurde nicht verändert oder manipuliert.
Wenn Sie keine oder eine andere Ausgabe als oben erhalten, wurde die ISO-Datei geändert oder falsch heruntergeladen. Sie müssen die Datei erneut von einer guten Quelle herunterladen.
Einige Linux-Distributionen haben den Prüfsummenwert in die Download-Seite selbst aufgenommen. Beispiel:Pop!_os Entwickler haben die SHA-256-Prüfsummenwerte für alle ISO-Images auf der Download-Seite selbst bereitgestellt, sodass Sie die ISO-Images schnell überprüfen können.
Pop os SHA256-Summenwert auf der Download-Seite
Nachdem Sie das ISO-Image heruntergeladen haben, überprüfen Sie es mit dem Befehl:
$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Beispielausgabe:
680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Pop-os-SHA256-Summenwert
Hier die zufällige Zeichenfolge beginnend mit "680elaa..." ist der SHA-256-Prüfsummenwert. Vergleichen Sie diesen Wert mit dem SHA-256-Summenwert, der auf der Download-Seite angegeben ist. Wenn beide Werte gleich sind, kann es losgehen! Die heruntergeladene ISO-Datei ist legitim und hat sich gegenüber ihrem ursprünglichen Zustand nicht verändert oder modifiziert.
So können wir die Authentizität und Integrität einer ISO-Datei unter Linux überprüfen. Unabhängig davon, ob Sie ISOs von offiziellen oder Drittanbieterquellen herunterladen, wird immer empfohlen, eine schnelle Überprüfung durchzuführen, bevor Sie sie verwenden. Ich hoffe, das war hilfreich.
Referenz:
- https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu