الصفحة الرئيسية » howto » كيفية التحقق من تدقيق نظام تشغيل Linux الخاص بـ Linux وتأكيد أنه لم يتم العبث به

    كيفية التحقق من تدقيق نظام تشغيل Linux الخاص بـ Linux وتأكيد أنه لم يتم العبث به

    في الشهر الماضي ، تم اختراق موقع لينوكس مينت ، وتم وضع ISO المعدل للتنزيل بما في ذلك الباب الخلفي. في حين تم إصلاح المشكلة بسرعة ، فإنه يدل على أهمية التحقق من ملفات Linux ISO التي تقوم بتنزيلها قبل تشغيلها وتثبيتها. إليك الطريقة.

    تقوم توزيعات لينكس بنشر المجموع الاختباري حتى تتمكن من التأكد من أن الملفات التي تقوم بتنزيلها هي ما يدعون أنها موجودة ، وغالباً ما يتم توقيعها بحيث يمكنك التحقق من أن المخبئات نفسها لم يتم العبث بها. هذا مفيد بشكل خاص إذا قمت بتنزيل ISO من مكان آخر غير المرآة الرئيسية مثل موقع الجهة الخارجية ، أو من خلال BItTorrent ، حيث يكون من الأسهل على الأشخاص التلاعب بالملفات.

    كيف تعمل هذه العملية

    تعتبر عملية التحقق من ISO أمرًا معقدًا بعض الشيء ، لذلك قبل أن نصل إلى الخطوات الصحيحة ، دعنا نوضح بالضبط ما الذي تنطوي عليه هذه العملية:

    1. ستقوم بتنزيل ملف Linux ISO من موقع Linux على الويب أو في مكان آخر كالمعتاد.
    2. ستقوم بتنزيل المجموع الاختباري وتوقيعه الرقمي من موقع توزيع Linux. قد يكون هذا ملفين TXT منفصلين ، أو قد تحصل على ملف TXT واحد يحتوي على كل من أجزاء البيانات.
    3. ستحصل على مفتاح PGP عام ينتمي إلى توزيع Linux. قد تحصل على هذا من موقع توزيعة لينكس أو خادم رئيسي منفصل يديره نفس الأشخاص ، حسب توزيعة لينكس الخاصة بك.
    4. ستستخدم مفتاح PGP للتحقق من أن التوقيع الرقمي لمجموع الاختباري قد تم إنشاؤه من قبل الشخص نفسه الذي أجرى المفتاح في هذه الحالة ، مشرفو توزيع Linux هذا. هذا يؤكد أن المجموع الاختباري نفسه لم يتم العبث به.
    5. ستنشئ المجموع الاختباري لملف ISO الذي تم تنزيله ، وتحقق من أنه يتطابق مع ملف TXT للمجموع الاختباري الذي قمت بتنزيله. هذا يؤكد أن ملف ISO لم يتم العبث به أو تلفه.

    قد تختلف العملية قليلاً عن ISOs مختلفة ، ولكنها تتبع عادةً النمط العام. على سبيل المثال ، هناك عدة أنواع مختلفة من الاختباري. تقليديا ، كانت مبالغ MD5 الأكثر شعبية. ومع ذلك ، يتم الآن استخدام مبالغ SHA-256 بشكل أكثر تكرارًا بواسطة توزيعات Linux الحديثة ، حيث أن SHA-256 أكثر مقاومة للهجمات النظرية. سنناقش في المقام الأول مبالغ SHA-256 هنا ، على الرغم من أن عملية مماثلة ستعمل لمبالغ MD5. قد توفر بعض توزيعات Linux أيضًا مبالغ SHA-1 ، على الرغم من أنها أقل شيوعًا.

    وبالمثل ، فإن بعض التوزيعات لا تقوم بتوقيع مجموعتها الاختبارية مع PGP. ستحتاج فقط إلى تنفيذ الخطوات 1 و 2 و 5 ، ولكن العملية أكثر عرضة للخطر. بعد كل شيء ، إذا كان المهاجم يمكن أن يحل محل ملف ISO للتنزيل ، فيمكنه أيضًا استبدال المجموع الاختباري.

    استخدام PGP هو أكثر أمنا ، ولكن ليس مضمونا. لا يزال بإمكان المهاجم استبدال هذا المفتاح العام بمفرده ، فلا يزال بإمكانه خداعك للتفكير في أن ISO شرعية. ومع ذلك ، إذا كان المفتاح العام مستضافًا على خادم آخر - كما هو الحال مع Linux Mint - فإن هذا يصبح أقل احتمالاً (حيث سيتعين عليهم اختراق خادمين بدلاً من خادم واحد). ولكن إذا تم تخزين المفتاح العام على نفس الخادم مثل ISO و checksum ، كما هو الحال مع بعض التوزيعات ، فإنه لا يوفر الكثير من الأمان.

    ومع ذلك ، إذا كنت تحاول التحقق من توقيع PGP في ملف المجموع الاختباري ثم التحقق من صحة التنزيل باستخدام هذا المجموع الاختباري ، فهذا هو كل ما يمكنك القيام به بشكل معقول كمستخدم نهائي يقوم بتنزيل Linux Linux. أنت لا تزال أكثر أمنا من الناس الذين لا يهتمون.

    كيفية التحقق من المجموع الاختباري على لينكس

    سنستخدم Linux Mint كمثال هنا ، ولكن قد تحتاج إلى البحث في موقع توزيع Linux الخاص بك للعثور على خيارات التحقق التي يقدمها. بالنسبة لـ Linux Mint ، يتم توفير ملفين مع تنزيل ISO على مرايا التحميل الخاصة به. قم بتنزيل ISO ، ثم قم بتنزيل ملفات "sha256sum.txt" و "sha256sum.txt.gpg" إلى جهاز الكمبيوتر الخاص بك. انقر بزر الماوس الأيمن على الملفات وحدد "حفظ الرابط باسم" لتنزيلها.

    على سطح مكتب Linux ، افتح نافذة طرفية وقم بتنزيل مفتاح PGP. في هذه الحالة ، تتم استضافة مفتاح PGP الخاص ب Linux Mint على خادم مفاتيح Ubuntu ، ويجب تشغيل الأمر التالي للحصول عليه.

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

    سيوجهك موقع الويب الخاص بموقع Linux الخاص بك إلى المفتاح الذي تحتاجه.

    لدينا الآن كل ما نحتاجه: ISO وملف المجموع الاختباري وملف التوقيع الرقمي لمجموع الاختباري ومفتاح PGP. بعد ذلك ، تغيّر إلى المجلد الذي تم تنزيله إلى ... 

    مؤتمر نزع السلاح ~ / التنزيلات

    ... وقم بتشغيل الأمر التالي للتحقق من توقيع ملف المجموع الاختباري:

    gpg --verify sha256sum.txt.gpg sha256sum.txt

    إذا سمح لك الأمر GPG بمعرفة أن الملف sha256sum.txt الذي تم تنزيله يحتوي على "توقيع جيد" ، فيمكنك المتابعة. في السطر الرابع من لقطة الشاشة أدناه ، تخبرنا GPG أن هذا "توقيع جيد" يدعي أنه مرتبط مع Clement Lefebvre ، مبدع Linux Mint.

    لا تقلق من أن المفتاح غير مصادق عليه بـ "توقيع موثوق به". هذا بسبب الطريقة التي يعمل بها تشفير PGP - لم تقم بإعداد شبكة من الثقة عن طريق استيراد المفاتيح من الأشخاص الموثوق بهم. سيكون هذا الخطأ شائعًا جدًا.

    أخيرًا ، بعد أن علمنا أن المجموع الاختباري تم إنشاؤه بواسطة مشرفي Linux Mint ، قم بتشغيل الأمر التالي لإنشاء مجموع اختباري من ملف .iso الذي تم تنزيله وقارنه بملف TXT المجموع الاختباري الذي قمت بتنزيله:

    sha256sum - تحقق من sha256sum.txt

    سترى الكثير من رسائل "عدم وجود ملف أو دليل من هذا القبيل" إذا قمت بتنزيل ملف ISO واحد فقط ، ولكنك سترى رسالة "موافق" للملف الذي قمت بتنزيله إذا كان يتطابق مع المجموع الاختباري.

    يمكنك أيضًا تشغيل أوامر المجموع الاختباري مباشرة على ملف .iso. انها سوف تفحص ملف .iso والبصق خارج المجموع الاختباري لها. يمكنك بعد ذلك فقط التحقق من أنه يتطابق مع المجموع الاختباري الصحيح من خلال النظر إلى عينيك.

    على سبيل المثال ، للحصول على مجموع SHA-256 من ملف ISO:

    sha256sum / path/to/file.iso

    أو ، إذا كان لديك قيمة md5sum وتحتاج إلى الحصول على md5sum من الملف:

    md5sum / path/to/file.iso

    قارن النتيجة بملف TXT المجموع الاختباري لمعرفة ما إذا كانت مطابقة.

    كيفية التحقق من المجموع الاختباري على ويندوز

    إذا كنت تقوم بتنزيل Linux Linux من جهاز يعمل بنظام Windows ، فيمكنك أيضًا التحقق من المجموع الاختباري هناك ، على الرغم من أن Windows لا يحتوي على البرنامج الضروري المضمن. لذلك ، ستحتاج إلى تنزيل أداة Gpg4win مفتوحة المصدر وتثبيتها.

    حدد موقع ملف مفتاح توقيع نظام Linux الخاص بك وملف المجموع الاختباري. سنستخدم فيدورا كمثال هنا. يوفر موقع Fedora تنزيلات اختبارية ويخبرنا أنه يمكننا تنزيل مفتاح توقيع Fedora من https://getfedora.org/static/fedora.gpg.

    بعد تنزيل هذه الملفات ، ستحتاج إلى تثبيت مفتاح التوقيع باستخدام برنامج Kleopatra المتضمن مع Gpg4win. قم بتشغيل كليوباترا ، وانقر فوق ملف> استيراد الشهادات. حدد ملف .gpg الذي قمت بتنزيله.

    يمكنك الآن التحقق مما إذا كان ملف المجموع الاختباري الذي تم تنزيله قد تم توقيعه مع أحد الملفات الرئيسية التي قمت باستيرادها. للقيام بذلك ، انقر فوق ملف> فك تشفير / التحقق من الملفات. حدد ملف المجموع الاختباري الذي تم تنزيله. ألغِ تحديد الخيار "ملف الإدخال هو توقيع مستقل" وانقر على "فك تشفير / التحقق".

    من المؤكد أنك سترى رسالة خطأ إذا قمت بذلك بهذه الطريقة ، حيث أنك لم تواجه مشكلة التأكد من أن شهادات فيدورا مشروعة بالفعل. هذه مهمة أكثر صعوبة. هذه هي الطريقة التي يتم بها تصميم PGP للعمل ، حيث يمكنك مقابلة المفاتيح وتبادلها شخصيًا ، على سبيل المثال ، وتجميع شبكة من الثقة. معظم الناس لا يستخدمونه بهذه الطريقة.

    ومع ذلك ، يمكنك عرض المزيد من التفاصيل والتأكد من توقيع ملف المجموع الاختباري بأحد المفاتيح التي قمت باستيرادها. هذا أفضل بكثير من الوثوق بملف ISO الذي تم تنزيله بدون التحقق ، على أي حال.

    يجب أن تكون الآن قادرًا على تحديد File> Verify Checksum Files وتأكد من أن المعلومات الموجودة في ملف المجموع الاختباري تطابق ملف .iso الذي تم تنزيله. ومع ذلك ، فإن هذا لم ينجح بالنسبة لنا ، ربما هو مجرد طريقة وضع ملف اختباري في فيدورا. عندما حاولنا ذلك باستخدام ملف sha256sum.txt الخاص ب Linux Mint ، فقد نجح.

    إذا لم ينجح ذلك في اختيار نظام التشغيل Linux ، فيمكنك العثور على حل بديل. أولاً ، انقر فوق إعدادات> Configure Kleopatra. حدد "عمليات تشفير" ، حدد "عمليات الملف" ، واضبط كليوباترا لاستخدام برنامج المجموع الاختباري "sha256sum" ، وهذا ما تم إنشاء هذا المجموع الاختباري الخاص به. إذا كان لديك المجموع الاختباري MD5 ، فحدد "md5sum" في القائمة هنا.

    الآن ، انقر فوق ملف> إنشاء ملفات Checksum وحدد ملف ISO الذي تم تنزيله. سيقوم Kleopatra بإنشاء مجموع تدقيقي من ملف .iso الذي تم تنزيله وحفظه في ملف جديد.

    يمكنك فتح كل من هذين الملفين - ملف المجموع الاختباري الذي تم تنزيله والملف الذي أنشأته للتو - في محرر نصي مثل Notepad. تأكد من أن المجموع الاختباري متطابق في كلتا عينيك. إذا كان متطابقًا ، فقد أكدت أن ملف ISO الذي تم تنزيله لم يتم العبث به.

    لم تكن طرق التحقق هذه في الأصل مخصصة للحماية من البرامج الضارة. لقد تم تصميمها لتأكيد أن ملف ISO الخاص بك تم تنزيله بشكلٍ صحيح ولم يتم إتلافه أثناء التنزيل ، لذا يمكنك حرقه واستخدامه دون القلق. إنها ليست حلًا مضمونًا تمامًا ، لأنك تثق بمفتاح PGP الذي تقوم بتنزيله. ومع ذلك ، لا يزال هذا يوفر ضمانًا أكثر من مجرد استخدام ملف ISO دون التحقق من ذلك على الإطلاق.

    صورة الائتمان: ادواردو Quagliato على فليكر

    كيفية التحقق من عمل Backups الخاص بجهاز Mac الخاص بك بشكل صحيح
    كيفية عرض والوصول إلى ما هو مشترك على الشبكة
    كيفية استخدام Zsh (أو شل آخر) في نظام التشغيل Windows 10
    المادة التالية
    كيفية التحقق من حساب PayPal باستخدام بطاقة فيزا افتراضية
    المقال السابق
    كيفية التحقق من صحة صفحات الجوال المتسارعة (AMP)