क्या आधिकारिक वेबसाइट से डाउनलोड किए गए आईएसओ को सत्यापित करना उचित है?

मैंने https://www.ubuntu.com/download से आईएसओ डाउनलोड किया , डिफ़ॉल्ट "उबंटू डेस्कटॉप" विकल्प का चयन किया।

वेबसाइट पृष्ठ https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu से लिंक करती है जो ubuntu को सत्यापित करने का निर्देश देती है।

यह बहुत थकाऊ लगता है, और मैं सोच रहा हूं कि यह कितना यथार्थवादी है कि आधिकारिक वेबसाइट से आईएसओ डाउनलोड करने में कोई समस्या है। मैं ध्यान देता हूं कि सत्यापन की प्रक्रिया से मुझे सॉफ्टवेयर डाउनलोड करने की आवश्यकता होती है जो मेरे लिए नया है, इस प्रकार मेरे ऊपर एक और हमले के वेक्टर को पेश करना, यहां तक ​​कि मैं एक और को बंद कर रहा हूं।

इसके लायक क्या है, मैं केवल लाइव यूएसबी का उपयोग करने की योजना बना रहा हूं और पूरी तरह से उबंटू स्थापित करने के लिए नहीं। क्या इससे कुछ अन्तर पड़ता है?

हाँ यह सार्थक है।

एक डाउनलोड किए गए आईएसओ को md5sum / etc में केवल कुछ सेकंड लगते हैं, और यह आपको आश्वस्त करता है कि MITM आदि के द्वारा आप पर हमला नहीं किया गया है, इसके अलावा, यदि आप कुछ बिट त्रुटियों और डिबगिंग आवश्यक थे, तो वे सेकंड [घंटों] के लिए बीमा हैं। आपके डाउनलोड के कारण किसी और की त्रुटि नहीं होती (उदाहरण के लिए, आपके पास नेटवर्क समस्याएँ हैं और इसलिए डिबग करने का प्रयास करें, लेकिन नेटवर्किंग इसलिए भरी जाती है क्योंकि कुछ ही गलतियाँ थीं ...) बहुत सस्ते बीमा के रूप में चेकसम-चेक के बारे में सोचें।

Md5sum के लिए आवश्यक सॉफ्टवेयर किसी अन्य स्रोत से होगा (आमतौर पर एक पुराना संस्करण, यहां तक ​​कि विभिन्न ओएस / डिस्ट्रो)।

इसके अलावा यह मुझे एक स्थानीय दर्पण से डाउनलोड करने की अनुमति देता है, लेकिन क्योंकि मैं Canonical स्रोत से md5sum हड़पता हूं; मेरा बीमा है कि दर्पण इसके साथ नहीं खेलता था। फिर से बहुत सस्ता बीमा जो मुझे ~ 3secs समय का खर्च देता है।

हाँ, यह बहुत विश्वसनीय है कि आप अपने द्वारा डाउनलोड की गई छवि को सत्यापित करते हैं, यहाँ कुछ कारण हैं:

• बस कुछ सेकंड लगते हैं और आपको बता सकते हैं कि क्या फ़ाइल की अखंडता सही है, मेरा मतलब है, फ़ाइल दूषित नहीं है। (तकनीकी कारणों से भ्रष्टाचार का एक सामान्य कारण स्थानांतरण त्रुटि है, जैसे @ फ्लैडस टिप्पणी से एक परतदार इंटरनेट कनेक्शन।)
• यदि फ़ाइल दूषित है और आप इस ISO छवि को CD / USB ड्राइव में जलाते हैं, और यह काम नहीं करेगा, या स्थापना के दौरान विफल हो सकता है, तो इससे समय और सीडी की बर्बादी होती है।
• आप सुनिश्चित हैं कि आप किसी भी प्रकार की ISO छवि या सॉफ़्टवेयर के आधिकारिक CLEAN संस्करण का उपयोग कर रहे हैं और संशोधित संस्करण नहीं (शायद हमलावरों द्वारा), इस रिपोर्ट को देखें : डॉग पाइरेट्स स्कर्वी बिटकॉइन-माइनिंग मैलवेयर द्वारा मारा गया

यदि आपके पास पहले से ही एक GNU लिनक्स डिस्ट्रो है , तो आप md5sum का उपयोग कर सकते हैं , यदि आप विंडोज में हैं तो आप उपयोग कर सकते हैं: WinMD5Free ।

आशा करता हूँ की ये काम करेगा।

हाँ, यह है, लेकिन उबंटू इसे जितना कठिन होना चाहिए, उससे कहीं अधिक कठिन है।

सबसे अच्छा मामले में आप बस एक बार आयात करने के बाद foo.iso और foo.iso.sig डाउनलोड करेंगे और .sig फ़ाइल (या .sig फ़ाइल पर शेल पर gpg का उपयोग करें) पर क्लिक करें। इसमें कुछ सेकंड का खर्च आता है।

Ubuntu एक फ़ाइल से sha256 रकम की जाँच करने के लिए मजबूर करके इसे और अधिक जटिल बनाता है, जबकि केवल फ़ाइल ही हस्ताक्षरित है। यह उनके लिए सुविधाजनक है, लेकिन अपने उपयोगकर्ताओं के लिए अधिक काम करता है।

दूसरी ओर, जब फ़ाइल बस द्वारा उत्पन्न की गई थी sha256sum * >SHA256SUMS, तो आप इसका उपयोग करके जांच कर सकते हैं sha256 -cऔर OK/Bad/Not-Foundआउटपुट के रूप में प्राप्त कर सकते हैं ।

अपनी जाँच करें /proc/net/devऔर देखें कि आपने अब तक कितने बुरे टीसीपी फ्रेम प्राप्त किए हैं। यदि आप एकल-अंक मान (उम्मीद से शून्य) देखते हैं, तो पढ़ें। यदि आपके पास बहुत सी या नेटवर्क त्रुटियां हैं, तो सभी माध्यमों से अपने डाउनलोडों को सत्यापित करने के लिए एमडी 5 का उपयोग करें (हालांकि मैं मूल कारणों की जांच करूंगा, क्योंकि अविश्वसनीय नेटवर्क का मतलब है कि आप HTTP के माध्यम से प्राप्त किसी भी चीज पर भरोसा नहीं कर सकते हैं)।

जब आप TCP पर डाउनलोड कर रहे हैं जो सभी प्रेषित डेटा को चेक करता है, तो एक ही आकार के साथ एक भ्रष्ट डाउनलोड होने की बहुत कम संभावना है। यदि आप आश्वस्त हैं कि आप आधिकारिक साइट से डाउनलोड कर रहे हैं (आप सामान्य रूप से यदि आप HTTPS और प्रमाणपत्र चेक पास का उपयोग कर रहे हैं), तो यह सत्यापित करते हुए कि आपका डाउनलोड पूरा हो गया है सामान्य रूप से पर्याप्त है। डिसेंट वेब ब्राउज़र आमतौर पर आपके लिए वैसे भी चेक करते हैं, "डाउनलोड फ़ेल" की तर्ज पर कुछ कह रहे हैं, अगर उन्हें अपेक्षित डेटा नहीं मिलता है, हालाँकि मैंने ऐसे ब्राउज़र देखे हैं जो बिना कुछ कहे अधूरी फाइल रखने का निर्णय लेते हैं उपयोगकर्ता के लिए, जिस स्थिति में आप फ़ाइल का आकार मैन्युअल रूप से जाँच सकते हैं।

बेशक, एक चेकसम को सत्यापित करने का अभी भी अपना मूल्य है, आपको उन मामलों में कवर करता है जहां आप जिस फ़ाइल को डाउनलोड कर रहे हैं वह सर्वर पर भ्रष्ट है, लेकिन ऐसा अक्सर नहीं होता है। फिर भी, यदि आप कुछ महत्वपूर्ण के लिए अपने डाउनलोड का उपयोग करने जा रहे हैं, तो यह एक कदम उठाने लायक है।

जैसा कि @sudodus ने टिप्पणियों में कहा, HTTPS के बजाय बिटोरेंट का उपयोग करना एक अन्य विकल्प है, क्योंकि वेब ब्राउज़र के रूप में अपूर्ण / भ्रष्ट डेटा से निपटने के दौरान टोरेंट क्लाइंट बहुत बेहतर काम करते हैं।

ध्यान दें कि चेकसम वास्तव में आपको हमला करने से नहीं रोकता है , यही एचटीटीपीएस है।

मुझे संक्षेप में जांच नहीं करने के बारे में पता चला। मैं एक आईएसओ के साथ एक सीडी को जलाऊंगा जो एक डाउनलोड के दौरान दूषित हो गया था, और इसे बूट करने के लिए नहीं मिल सकता था या इसे चलाते समय त्रुटियां थीं।

जैसा दूसरों ने कहा, इसमें बहुत कम समय लगता है।

आप इसे केवल एक उपयोग के मामले के साथ देख रहे हैं, बड़े पैमाने पर स्वचालन के साथ एक सेट में यह सत्यापित करने में मदद करता है; स्क्रिप्ट जो चेक को चलाती हैं, हमें कभी भी छवि के साथ क्या करने की आवश्यकता है, आगे बढ़ने से पहले

दूसरों ने तकनीकी विवरणों के साथ उत्तर दिए हैं कि मैं भूल गया था हालांकि मैं एक प्रोग्रामर हूं (मेरा काम नेटवर्क पर संचार शामिल नहीं करता है), इसलिए मैं आपको एक व्यक्तिगत अनुभव बताने जा रहा हूं।

एक लंबे समय पहले, जब मैं अक्सर सीडी को जलाने के लिए इस्तेमाल किया, यह एक बार करने के लिए मुझे इस Linux वितरण आईएसओ जो सही ढंग से डाउनलोड किया है को दिखाई डाउनलोड किया हुआ। सीडी ने मुझे विफल कर दिया, इसलिए मैंने डाउनलोड की गई फ़ाइल की जांच की और यह मेल नहीं खाता। तो, मैं फिर से डाउनलोड किया और यह काम किया। इसलिए, यह केवल 15 वर्षों में एक बार हुआ है क्योंकि मैं एक उन्नत कंप्यूटर उपयोगकर्ता और प्रोग्रामिंग रहा हूं (11 साल की उम्र से कंप्यूटर का उपयोग कर रहा हूं, 19 साल पहले, और मैंने एक हजार से अधिक डिस्क जला दिया है)। लेकिन यह सबूत है कि ऐसा हो सकता है।

यह एक या दो बार बिटटोरेंट के माध्यम से मेरे साथ भी हुआ, इसलिए यह विफल नहीं है। जब डाउनलोड की गई फ़ाइल को फिर से जाँचने के लिए, उसने भ्रष्ट टुकड़े की पहचान की।

मेरा निष्कर्ष HTTP (टीसीपी पर निर्भर है) जितना हो सकता है उतना सुरक्षित हो सकता है, लेकिन इंटरनेट का मतलब है कि आपके डिवाइस और सर्वर के बीच मध्यस्थ नोड्स हैं, और रास्ते में क्या हो सकता है, यह बताने वाला कोई भी नहीं है (पैकेट भी खो गए हैं समय), और कभी-कभी कंप्यूटर यह नहीं बता सकते कि डेटा गलत है मुझे लगता है।

कोई भी जवाब नहीं दे सकता है कि क्या यह आपके लिए परेशानी का कारण होगा - यह संदर्भ पर निर्भर करता है और मुझे यकीन है कि आप अपने लिए न्याय कर सकते हैं। मेरे लिए, यह ज्यादातर समय के लायक नहीं है। अगर मैं एक ओएस स्थापित करने जा रहा था, तो मैं पहले डाउनलोड की गई छवि की जांच करूंगा।

नोट: तथ्य यह है कि मैं केवल एक या दो बार एक भ्रष्ट डाउनलोड देखा है इसका मतलब यह नहीं है कि यह तब हुआ। हो सकता है कि दूसरी बार यह उस तरह से न मिले जिससे आप ध्यान न दें।

संपादित करें: मेरे पास काम के तर्क पर अन्य अनुभवी प्रोग्रामर भी थे (काफी आक्रोश के साथ भी) कि इन डेटा अखंडता सत्यापन hashes से यह जानना संभव है कि क्या कोई फ़ाइल मूल के समान है, लेकिन मुझे पता है (मैंने पढ़ा है) तथ्य यह है कि दो फाइलें एक ही हैश में परिणाम का मतलब यह नहीं है कि वे समान हैं - इसका मतलब यह है कि यह बहुत संभावना नहीं है कि वे अलग हैं। जिस तरह से वे उपयोगी हैं वह यह है कि जब फाइलें समान नहीं होती हैं, और विशेष रूप से जब वे बहुत भिन्न होते हैं, तो उनके परिणामस्वरूप हैश कोड व्यावहारिक रूप से कभी भी समान नहीं होंगे (यह इस परीक्षण के विफल होने की संभावना भी कम है)। कम शब्दों में - यदि हैश कोड अलग हैं, तो आप जानते हैं कि फाइलें अलग हैं।