I forrige måned ble Linux Mint's nettsted hacket, og en endret ISO ble lagt ned for nedlasting som inneholdt en bakdør . Mens problemet ble løst raskt, demonstrerer det viktigheten av å sjekke Linux ISO-filer du laster ned før du kjører og installerer dem. Slik gjør du det.

Linux-distribusjoner publiserer sjekksum, slik at du kan bekrefte at filene du laster ned er hva de hevder å være, og disse er ofte signert, slik at du kan bekrefte sjekksummene selv ikke har blitt manipulert med. Dette er spesielt nyttig hvis du laster ned en ISO fra et annet sted enn det viktigste nettstedet, som et tredjeparts speil, eller gjennom BItTorrent, hvor det er mye lettere for folk å manipulere med filer.

Slik fungerer denne prosessen

Den Prosessen med å sjekke en ISO er litt kompleks, så før vi kommer inn i de nøyaktige trinnene, la oss forklare nøyaktig hva prosessen medfører:

1. Du laster ned Linux ISO-filen fra Linux-distribusjonens nettsted - eller et annet sted - som vanlig .
2. Du vil laste ned et checksum og dets digitale signatur fra Linux-distribusjonens nettsted. Disse kan være to separate TXT-filer, eller du kan få en enkelt TXT-fil som inneholder begge deler av data.
3. Du får en offentlig PGP-nøkkel som tilhører Linux-distribusjonen. Du kan få dette fra Linux-distribusjonens nettside eller en egen nøkkelserver administrert av de samme personene, avhengig av Linux-distribusjonen din.
4. Du bruker PGP-nøkkelen til å verifisere at sjekksummenes digitale signatur ble opprettet av samme person som gjort nøkkelen - i dette tilfellet, vedlikeholderne av den Linux-distribusjonen. Dette bekrefter at sjekksummen selv ikke har blitt manipulert.
5. Du genererer kontrollsummen for den nedlastede ISO-filen din, og bekrefter at den stemmer overens med sjekksummen TXT-filen du lastet ned. Dette bekrefter at ISO-filen ikke har blitt manipulert eller ødelagt.

Prosessen kan variere litt for forskjellige ISO-er, men det følger vanligvis det generelle mønsteret. For eksempel er det flere forskjellige typer kontrollsummer. Tradisjonelt har MD5 summer vært den mest populære. SHA-256-summene brukes nå oftere av moderne Linux-distribusjoner, da SHA-256 er mer motstandsdyktig mot teoretiske angrep. Vi diskuterer hovedsakelig SHA-256 summer her, selv om en lignende prosess vil fungere for MD5-beløp. Noen Linux distros kan også gi SHA-1 summer, selv om disse er enda mindre vanlige.

På samme måte skriver noen distroer ikke sine checksums med PGP. Du trenger bare å utføre trinn 1, 2 og 5, men prosessen er mye mer sårbar. Tross alt, hvis angriperen kan erstatte ISO-filen for nedlasting, kan de også erstatte kontrollsummen.

Bruk av PGP er mye sikrere, men ikke idiotsikkert. Angriperen kan fortsatt erstatte den offentlige nøkkelen med sine egne, de kan fortsatt lure deg til å tro at ISO er legitim. Men hvis den offentlige nøkkelen er vert på en annen server, slik det er tilfelle med Linux Mint, blir dette langt mindre sannsynlig (siden de måtte hacke to servere i stedet for bare en). Men hvis den offentlige nøkkelen er lagret på samme server som ISO og kontrollsummen, som det er tilfelle med noen distroer, gir det ikke så mye sikkerhet.

Likevel, hvis du forsøker å verifisere PGP-signaturen på en sjekksumfil og deretter validere nedlastingen med det sjekksummen, er det alt du kan med rimelighet gjøre som sluttbruker laster ned en Linux ISO. Du er fortsatt mye sikrere enn de som ikke bry deg.

Slik kontrollerer du et sjekksum på Linux

Vi bruker Linux Mint som et eksempel her, men du må kanskje søke på Linux-distribusjonens nettsted for å finne bekreftelsesalternativene den tilbyr. For Linux Mint, leveres to filer sammen med ISO-nedlastingen på nedlastingsspeilene. Last ned ISO, og last ned deretter "sha256sum.txt" og "sha256sum.txt.gpg" -filene til datamaskinen din. Høyreklikk filene og velg "Lagre lenke som" for å laste dem ned.

På ditt Linux-skrivebord åpner du et terminalvindu og laster ned PGP-nøkkelen. I dette tilfellet er Linux Mints PGP-nøkkel vert på Ubuntus nøkkelserver, og vi må kjøre følgende kommando for å få det.

gpg - keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

Din Linux distros nettsted vil peke deg mot nøkkelen du trenger.

Vi har nå alt vi trenger: ISO, kontrollsummen fil, sjekksummenes digitale signaturfil og PGP-nøkkelen. Så neste, bytt til mappen de ble lastet ned til ...

cd ~ / Nedlastinger

... og kjør følgende kommando for å sjekke signaturen til checksumfilen:

gpg - verify sha256sum.txt.gpg sha256sum .txt

Hvis GPG-kommandoen lar deg vite at den nedlastede filen sha256sum.txt har en "god signatur", kan du fortsette. I den fjerde linjen av skjermbildet under, informerer GPG oss om at dette er en "god signatur" som hevder å være knyttet til Clement Lefebvre, Linux Mint's creator.

Ikke bekymre deg for at nøkkelen ikke er sertifisert med en " klarert signatur. "Dette er på grunn av måten PGP-kryptering fungerer på. Du har ikke satt opp et nett av tillit ved å importere nøkler fra pålitelige personer. Denne feilen vil bli veldig vanlig.

Til slutt, nå da vi kjenner sjekksummen, ble opprettet av Linux Mint-vedlikeholdsstyrerne, kjør følgende kommando for å generere et sjekksum fra den nedlastede .iso-filen og sammenligne den med sjekksum TXT-filen du lastet ned :

sha256sum --check sha256sum.txt

Du vil se mange "ikke slike filer eller mapper" meldinger hvis du bare lastet ned en enkelt ISO-fil, men du bør se en "OK" melding for filen du lastet ned hvis den samsvarer med sjekksummen.

Du kan også kjøre kontrollsommekommandoer direkte på en .iso-fil. Det vil undersøke .iso-filen og spytte ut sjekksummen. Du kan da bare sjekke det samsvarer med det gyldige kontrollsummen ved å se på begge med øynene dine.

For eksempel, for å få SHA-256 summen av en ISO-fil:

sha256sum /path/to/file.iso

Eller, hvis du har en md5sum-verdi og trenger å få md5sum av en fil:

md5sum /path/to/file.iso

Sammenlign resultatet med sjekksum TXT-filen for å se om de samsvarer.

Slik kontrollerer du et sjekksum i Windows

Hvis du laster ned en Linux ISO fra en Windows-maskin, kan du også kontrollere kontrollsummen der, men Windows har ikke den nødvendige programvaren innebygd. Så, du må laste ned og installere Gpg4win-verktøyet med åpen kildekode.

Finn Linux Distros signeringsnøkkelfil og sjekksumfiler. Vi bruker Fedora som et eksempel her. Fedoras nettsted gir sjekksumnedlastinger og forteller oss at vi kan laste ned Fedora signeringsnøkkelen fra //getfedora.org/static/fedora.gpg.

Når du har lastet ned disse filene, må du installere signeringsnøkkelen ved hjelp av Kleopatra-programmet følger med Gpg4win. Start Kleopatra, og klikk Fil> Import sertifikater. Velg .gpg-filen du lastet ned.

Du kan nå sjekke om den nedlastede kontrollsumfilen ble signert med en av nøkkelfiler du importerte. For å gjøre det, klikk Fil> Dekrypter / verifiser filer. Velg den nedlastede sjekksumfilen. Fjern merket for "Inngangsfilen er en frittstående signatur" -alternativ, og klikk på "Dekrypter / bekreft."

Du er sikker på å se en feilmelding hvis du gjør det på denne måten, siden du ikke har gått gjennom problemer med å bekrefte de Fedora sertifikatene er faktisk legitime. Det er en vanskeligere oppgave. Dette er måten PGP er utformet for å jobbe - du møter og bytter nøkler i person, for eksempel, og binder sammen en nettside av tillit. De fleste bruker ikke den på denne måten.

Du kan imidlertid se flere detaljer og bekrefte at sjekksumfilen ble signert med en av tastene du importerte. Dette er mye bedre enn å bare stole på en nedlastet ISO-fil uten å sjekke, uansett.

Du bør nå kunne velge File> Verify Checksum Files og bekrefte at informasjonen i sjekksumfilen stemmer overens med den nedlastede .iso-filen. Dette virket imidlertid ikke for oss - kanskje er det bare Fedors sjekksumfil er lagt ut. Når vi prøvde dette med Linux Mint's sha256sum.txt-fil, virket det.

Hvis dette ikke fungerer for Linux-distribusjonen din, er det en løsning. Klikk først på Innstillinger> Konfigurer Kleopatra. Velg "Crypto Operations", velg "File Operations," og sett Kleopatra for å bruke "sha256sum" checksum programmet, som det er hva dette sjekksummet ble generert med. Hvis du har et MD5 sjekksum, velg "md5sum" i listen her.

Klikk nå Arkiv> Opprett kontrollsumfiler og velg den nedlastede ISO-filen. Kleopatra vil generere et kontrollsum fra den nedlastede .iso-filen og lagre den i en ny fil.

Du kan åpne begge disse filene - den nedlastede kontrollsumfilen og den du nettopp har generert - i en tekstredigerer som Notisblokk. Bekreft sjekksummen er identisk både med dine egne øyne. Hvis det er identisk, har du bekreftet at den nedlastede ISO-filen din ikke har blitt manipulert.

Disse bekreftelsesmetoder var ikke opprinnelig beregnet for å beskytte mot skadelig programvare. De ble designet for å bekrefte at ISO-filen din ble lastet ned riktig og ikke skadet under nedlastingen, slik at du kunne brenne og bruke den uten å bekymre deg. De er ikke en helt idiotsikker løsning, siden du må stole på PGP-nøkkelen du laster ned. Men dette gir fortsatt mye mer sikkerhet enn bare å bruke en ISO-fil uten å sjekke det i det hele tatt.

Bilde Kreditt: Eduardo Quagliato på Flickr

Slik skriver du inn spesialtegn i OS X i to tastetrykk

Hvis du er engelsktalende, kan du bli forvirret noen ganger ved å legge inn spesielle eller aksenterte tegn i ikke-engelske ord . Det er en måte å gjøre dette på stort sett alle operativsystemer og enheter, men i dag ønsker vi å fokusere på OS X. En virkelig flott ting om tastaturer på berøringsskjermen er at de har revolusjonert hvordan vi skriver inn tekst.

(how-to)

10 beste nettsteder for å finne gratis lydeffekter

Leter du etter en kul lydeffekt for video- eller lydredigeringsprosjektet? Med enkle å bruke videoredigeringsprogrammer som Windows Movie Maker og iMovie, vet omtrent alle hvordan du lager kort film fra videoklipp. Jeg har tusenvis av videoer tatt fra digitalkameraet og smarttelefonen, og ved hjelp av WMM eller iMovie kan jeg lage titler, legge til lydspor, sette overganger, overlegg og mye mer!

(How-to)