Saya mengunduh ISO dari https://www.ubuntu.com/download , memilih opsi "Ubuntu Desktop" default.
Situs web menautkan laman https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu yang memberikan petunjuk cara memverifikasi ubuntu.
Ini sepertinya cukup membosankan, dan saya bertanya-tanya seberapa realistiskah masalah ini dengan ISO yang diunduh dari situs web resmi. Saya perhatikan bahwa proses verifikasi itu sendiri mengharuskan saya untuk mengunduh perangkat lunak yang baru bagi saya, sehingga memperkenalkan vektor serangan lain pada saya bahkan ketika saya menutup yang lain.
Untuk apa nilainya, saya berencana untuk menggunakan Live USB saja dan tidak sepenuhnya menginstal Ubuntu. Apakah itu membuat perbedaan?
system-installation
iso
user1205901 - Pasang kembali Monica
sumber
sumber
Jawaban:
Ya itu bermanfaat.
Hanya perlu beberapa detik untuk md5sum / etc ISO yang diunduh, dan memberikan jaminan Anda tidak diserang oleh MITM dll. Selain itu, detik-detik itu adalah asuransi untuk [jam] waktu yang terbuang jika Anda memiliki sedikit kesalahan dan diperlukan debugging Mengejar kesalahan tidak ada yang mendapat karena unduhan Anda (mis. Anda memiliki masalah jaringan & jadi coba debug; tetapi jaringan diisi karena itulah yang menyebabkan kesalahan bit ...) Pikirkan checksum-checks sebagai asuransi yang sangat murah.
Perangkat lunak yang diperlukan untuk md5sum sesuatu akan berasal dari sumber lain biasanya (versi yang lebih tua, bahkan berbeda os / distro pada kesempatan), sangat kecil dan sudah ada bagi banyak / kebanyakan dari kita.
Lebih lanjut itu memungkinkan saya untuk mengunduh dari mirror lokal, tetapi karena saya mengambil md5sum dari sumber Canonical; Saya sudah mengasuransikan bahwa cermin tidak bermain dengannya. Sekali lagi asuransi yang sangat murah yang menghabiskan biaya saya ~ 3 detik.
sumber
Ya, SANGAT DIANJURKAN agar Anda memverifikasi gambar yang Anda unduh, berikut adalah beberapa alasan:
Jika Anda sudah memiliki distro GNU Linux, Anda dapat menggunakan md5sum , jika Anda menggunakan Windows, Anda dapat menggunakan: WinMD5Free .
Semoga ini bisa membantu.
sumber
certutil
: superuser.com/a/898377/521689Ya, tapi Ubuntu tampaknya membuatnya lebih sulit dari yang seharusnya.
Dalam kasus terbaik Anda hanya perlu mengunduh foo.iso dan foo.iso.sig dan klik file .sig (atau gunakan gpg pada shell pada file .sig) setelah Anda mengimpor kunci satu kali. Ini membutuhkan beberapa detik.
Ubuntu tampaknya membuatnya lebih rumit dengan memaksa Anda untuk memeriksa jumlah sha256 dari suatu file sementara hanya file itu sendiri yang ditandatangani. Itu nyaman bagi mereka, tetapi lebih banyak pekerjaan untuk pengguna mereka.
Di sisi lain, ketika file dihasilkan oleh
sha256sum * >SHA256SUMS
, Anda dapat memeriksanya menggunakansha256 -c
dan mendapatkanOK/Bad/Not-Found
sebagai output.sumber
Periksa
/proc/net/dev
dan lihat berapa banyak frame TCP buruk yang telah Anda terima sejauh ini. Jika Anda melihat nilai satu digit (semoga nol), baca terus. Jika Anda memiliki banyak kesalahan jaringan, maka gunakan MD5 untuk memverifikasi unduhan Anda (meskipun saya lebih suka menyelidiki akar penyebabnya, karena jaringan yang tidak dapat diandalkan berarti Anda tidak bisa mempercayai apa pun yang Anda terima melalui HTTP).Saat Anda mengunduh melalui TCP yang memeriksa semua data yang dikirimkan, sangat kecil peluang untuk mengunduh yang rusak dengan ukuran yang persis sama. Jika Anda yakin mengunduh dari situs resmi (biasanya Anda menggunakan HTTPS dan sertifikat lulus), memverifikasi bahwa unduhan Anda sudah selesai biasanya sudah cukup. Peramban web yang layak biasanya tetap melakukan pemeriksaan untuk Anda, mengatakan sesuatu di sepanjang baris "unduhan gagal" jika mereka tidak mendapatkan jumlah data yang mereka harapkan, meskipun saya telah melihat peramban yang hanya memutuskan untuk menyimpan file yang tidak lengkap tanpa mengatakan apa pun. kepada pengguna, dalam hal ini Anda dapat memeriksa ukuran file secara manual.
Tentu saja, memverifikasi suatu checksum masih memiliki nilainya, melindungi Anda dalam kasus-kasus di mana file yang Anda unduh rusak di server, tetapi itu tidak terjadi terlalu sering. Namun, jika Anda akan menggunakan unduhan Anda untuk sesuatu yang penting, itu langkah yang patut diambil.
Seperti @sudodus katakan dalam komentar, menggunakan Bittorrent dan bukan HTTPS adalah pilihan lain, karena klien torrent melakukan pekerjaan yang jauh lebih baik ketika berhadapan dengan data yang tidak lengkap / rusak seperti yang dilakukan browser web.
Perhatikan bahwa checksum tidak benar-benar mencegah Anda dari diserang, itulah gunanya HTTPS.
sumber
Saya menemukan cara yang sulit untuk tidak memeriksa penjumlahan. Saya akan membakar CD dengan ISO yang rusak selama unduhan, dan tidak bisa mem-boot atau ada kesalahan saat menjalankan.
Seperti kata yang lain, hanya butuh sedikit waktu.
sumber
Anda melihatnya dengan hanya menggunakan satu kasing, dalam pemasangan dengan otomasi massal, membantu memastikannya diverifikasi; skrip yang menjalankan pemeriksaan, sebelum melanjutkan dengan apa yang perlu kita lakukan dengan gambar
sumber
Yang lain telah memberikan jawaban dengan detail teknis yang saya lupa meskipun saya seorang programmer (pekerjaan saya tidak melibatkan komunikasi melalui jaringan), jadi saya hanya akan memberi tahu Anda pengalaman pribadi.
Sebuah panjang waktu yang lalu, ketika saya digunakan untuk membakar CD sering, sekali terjadi padaku telah didownload distribusi linux ini ISO yang tampaknya telah didownload dengan benar. CD gagal saya, jadi saya memeriksa file yang diunduh dan tidak cocok. Jadi, saya mengunduh lagi dan berfungsi. Jadi, ini hanya terjadi sekali dalam 15 tahun sejak saya menjadi pengguna komputer yang maju dan pemrograman (telah menggunakan komputer sejak usia 11, 19 tahun yang lalu, dan saya telah membakar lebih dari seribu disc). Tetapi ini adalah bukti bahwa itu bisa terjadi.
Itu juga terjadi pada saya melalui BitTorrent sekali atau dua kali, sehingga tidak gagal-aman juga. Ketika memaksa memeriksa kembali file yang diunduh, itu mengidentifikasi bagian yang rusak.
Kesimpulan saya adalah HTTP (mengandalkan TCP) mungkin seaman mungkin, tetapi Internet berarti ada simpul perantara antara perangkat Anda dan server, dan tidak ada yang tahu apa yang bisa terjadi di jalan (paket bahkan hilang semua waktu), dan kadang-kadang komputer tidak dapat mengatakan bahwa data salah saya kira.
Tidak ada yang bisa menjawab apakah itu sepadan dengan masalah Anda - itu tergantung konteks dan saya yakin Anda bisa menilai itu sendiri. Bagi saya, itu tidak sepadan sepanjang waktu. Jika saya akan menginstal OS, saya akan memeriksa gambar yang diunduh sebelumnya.
Catatan: fakta bahwa saya hanya sekali atau dua kali melihat unduhan yang rusak tidak berarti itu hanya terjadi saat itu. Mungkin lain kali itu tidak menghalangi sehingga Anda tidak menyadarinya.
EDIT: Saya bahkan punya programmer lain yang lebih berpengalaman di tempat kerja berdebat (dengan cukup marah bahkan) bahwa hash verifikasi integritas data ini memungkinkan untuk mengetahui apakah file sedikit identik dengan aslinya, tapi saya tahu (saya telah membaca) bahwa fakta bahwa dua file menghasilkan hash yang sama tidak berarti bahwa mereka identik - itu hanya berarti sangat tidak mungkin mereka berbeda. Cara mereka berguna adalah bahwa ketika file tidak identik, dan terutama ketika mereka sangat berbeda, kode hash yang dihasilkan secara praktis tidak akan pernah sama (bahkan kemungkinan tes ini akan gagal). Dengan sedikit kata - jika kode hash berbeda, Anda tahu file berbeda.
sumber