การตรวจสอบ ISO ที่ดาวน์โหลดจากเว็บไซต์ทางการนั้นคุ้มค่าหรือไม่

ฉันดาวน์โหลด ISO จากhttps://www.ubuntu.com/downloadให้เลือกตัวเลือก "Ubuntu Desktop" เริ่มต้น

เว็บไซต์เชื่อมโยงหน้าhttps://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntuซึ่งให้คำแนะนำวิธีการตรวจสอบ Ubuntu

ดูเหมือนจะค่อนข้างน่าเบื่อและฉันสงสัยว่ามันจริงแค่ไหนที่มีปัญหากับการดาวน์โหลด ISO จากเว็บไซต์ทางการ ฉันทราบว่ากระบวนการตรวจสอบตัวเองกำหนดให้ฉันต้องดาวน์โหลดซอฟต์แวร์ที่ใหม่สำหรับฉันดังนั้นจึงแนะนำเวกเตอร์การโจมตีอีกอันให้กับฉันแม้ว่าฉันจะปิดตัวเองไปแล้วก็ตาม

สำหรับสิ่งที่คุ้มค่าฉันวางแผนที่จะใช้ Live USB เท่านั้นและไม่ควรติดตั้ง Ubuntu อย่างสมบูรณ์ นั่นสร้างความแตกต่างหรือไม่?

ใช่มันคุ้มค่า

ใช้เวลาเพียงไม่กี่วินาทีในการ md5sum / etc ISO ที่ดาวน์โหลดมาและให้ความมั่นใจกับคุณว่าไม่ได้ถูกโจมตีจาก MITM ฯลฯ นอกจากนั้นวินาทีเหล่านั้นยังประกันให้เวลา [ชั่วโมง] เสียเวลาหากคุณมีข้อผิดพลาดเล็กน้อยและจำเป็นต้องแก้ไขจุดบกพร่อง ข้อผิดพลาดในการไล่ล่าไม่มีใครได้รับเนื่องจากการดาวน์โหลดของคุณ (เช่นคุณมีปัญหาเครือข่าย & ดังนั้นพยายามที่จะแก้ปัญหา แต่เครือข่ายถูกยัดเพราะนั่นคือสิ่งที่ผิดบิตไม่กี่ได้ ... ) คิดว่าการตรวจสอบ

ซอฟต์แวร์ที่จำเป็นในการ md5sum บางอย่างจะมาจากแหล่งอื่นโดยทั่วไป (เวอร์ชั่นเก่ากว่าแม้กระทั่งระบบปฏิบัติการ / distro ที่แตกต่างกันในบางครั้ง) มีขนาดเล็กมากและมีอยู่แล้วสำหรับเรา / ส่วนใหญ่แล้ว

นอกจากนี้ยังช่วยให้ฉันสามารถดาวน์โหลดจากมิเรอร์ท้องถิ่น แต่เพราะฉันคว้า md5sum จากแหล่ง Canonical; ฉันรับประกันว่ากระจกไม่ได้เล่นกับมัน ประกันราคาถูกมากอีกครั้งที่ค่าฉัน ~ 3 วินาที

ใช่ขอแนะนำให้คุณยืนยันภาพที่คุณดาวน์โหลดมาด้วยเหตุผลบางประการดังต่อไปนี้:

• ใช้เวลาเพียงไม่กี่วินาทีและสามารถบอกคุณได้ว่าความสมบูรณ์ของไฟล์นั้นถูกต้องหรือไม่ฉันหมายความว่าไฟล์นั้นไม่เสียหาย (สาเหตุทั่วไปของความเสียหายเป็นข้อผิดพลาดในการโอนเนื่องจากเหตุผลทางเทคนิคเช่นการเชื่อมต่ออินเทอร์เน็ตที่ไม่สม่ำเสมอจากความคิดเห็น @sudodus)
• หากไฟล์เกิดความเสียหายและคุณเบิร์นอิมเมจ ISO นี้ลงในไดรฟ์ CD / USB และไฟล์นั้นจะไม่ทำงานหรือในระหว่างการติดตั้งอาจล้มเหลวก็จะทำให้เสียเวลาและซีดี
• คุณแน่ใจหรือไม่ว่าคุณกำลังใช้อิมเมจ ISO หรือซอฟต์แวร์ CLEAN ในรูปแบบทางการและไม่ใช่เวอร์ชั่นที่ถูกแก้ไข (อาจเป็นโดยผู้โจมตี) ดูรายงานนี้: Watch Dogs pirates ที่โดนมัลแวร์ Bitcoin จากการขุด

หากคุณมี distro GNU Linux คุณสามารถใช้md5sumถ้าคุณอยู่ใน Windows คุณสามารถใช้: WinMD5Free

หวังว่ามันจะช่วย

ใช่แล้ว แต่ดูเหมือนว่า Ubuntu จะทำให้หนักกว่าที่ควรจะเป็น

ในกรณีที่ดีที่สุดคุณเพียงแค่ดาวน์โหลด foo.iso และ foo.iso.sig และคลิกไฟล์. sig (หรือใช้ gpg บนเชลล์ในไฟล์. sig) หลังจากที่คุณนำเข้ากุญแจครั้งเดียว ค่าใช้จ่ายไม่กี่วินาที

Ubuntu ดูเหมือนจะทำให้ซับซ้อนขึ้นโดยบังคับให้คุณตรวจสอบผลรวม sha256 จากไฟล์ในขณะที่เซ็นชื่อไฟล์เองเท่านั้น สะดวกสำหรับพวกเขา แต่ทำงานได้มากกว่าสำหรับผู้ใช้ของพวกเขา

ในทางตรงกันข้ามเมื่อไฟล์ถูกสร้างขึ้นเพียงsha256sum * >SHA256SUMSคุณสามารถตรวจสอบโดยใช้sha256 -cและรับOK/Bad/Not-Foundเป็นเอาท์พุท

ตรวจสอบ/proc/net/devและดูว่าคุณได้รับเฟรม TCP ที่ไม่ดีเท่าใด หากคุณเห็นค่าตัวเลขหลักเดียว (หวังว่าจะเป็นศูนย์) ให้อ่านต่อ หากคุณมีข้อผิดพลาดมากมายหรือเครือข่ายดังนั้นให้ใช้ MD5 เพื่อตรวจสอบการดาวน์โหลดของคุณ (แม้ว่าฉันจะตรวจสอบสาเหตุที่แท้จริงเนื่องจากเครือข่ายที่ไม่น่าเชื่อถือหมายความว่าคุณไม่สามารถเชื่อถือสิ่งที่คุณได้รับผ่าน HTTP)

เมื่อคุณดาวน์โหลดผ่าน TCP ซึ่งตรวจสอบข้อมูลที่ส่งมาทั้งหมดมีโอกาสน้อยมากที่จะมีการดาวน์โหลดที่เสียหายด้วยขนาดเท่ากันทุกประการ หากคุณมั่นใจว่าคุณกำลังดาวน์โหลดจากเว็บไซต์อย่างเป็นทางการ (โดยปกติคุณจะใช้ HTTPS และผ่านการตรวจสอบใบรับรอง) การตรวจสอบว่าการดาวน์โหลดของคุณเสร็จสมบูรณ์เพียงพอแล้ว เว็บเบราว์เซอร์ที่ดีมักทำการตรวจสอบคุณอยู่แล้วพูดอะไรบางอย่างตามบรรทัด "ดาวน์โหลดล้มเหลว" หากพวกเขาไม่ได้รับข้อมูลตามจำนวนที่คาดหวังแม้ว่าฉันเคยเห็นเบราว์เซอร์ที่เพิ่งตัดสินใจเก็บไฟล์ไม่สมบูรณ์โดยไม่พูดอะไรเลย ให้กับผู้ใช้ในกรณีนี้คุณสามารถตรวจสอบขนาดไฟล์ด้วยตนเอง

แน่นอนการตรวจสอบการตรวจสอบยังคงมีค่าครอบคลุมในกรณีที่ไฟล์ที่คุณดาวน์โหลดเสียหายบนเซิร์ฟเวอร์ แต่ที่ไม่ได้เกิดขึ้นบ่อยเกินไป ถึงกระนั้นหากคุณจะใช้การดาวน์โหลดของคุณสำหรับสิ่งที่สำคัญนั่นคือขั้นตอนที่ควรค่า

ตามที่ @sudodus กล่าวไว้ในความคิดเห็นการใช้ Bittorrent แทน HTTPS เป็นอีกทางเลือกหนึ่งเนื่องจากไคลเอนต์ฝนตกหนักทำงานได้ดีขึ้นมากเมื่อจัดการกับข้อมูลที่ไม่สมบูรณ์ / เสียหายเช่นเดียวกับที่เว็บเบราว์เซอร์ทำ

โปรดทราบว่าเช็คซัมไม่ได้ป้องกันคุณจากการถูกโจมตีนั่นคือสิ่งที่ HTTPS ใช้

ฉันพบวิธีที่ยากเกี่ยวกับการไม่ตรวจสอบข้อสรุป ฉันจะเขียนซีดีที่มี ISO ซึ่งเสียหายระหว่างการดาวน์โหลดและไม่สามารถบูตได้หรือมีข้อผิดพลาดขณะทำงาน

อย่างที่คนอื่นพูดกันมันใช้เวลาน้อย

คุณจะเห็นมันด้วยกรณีการใช้งานเพียงครั้งเดียวในการตั้งค่าด้วยระบบอัตโนมัติจำนวนมากจะช่วยให้สามารถตรวจสอบได้ สคริปต์ที่เรียกใช้การตรวจสอบก่อนที่จะดำเนินการกับสิ่งที่เราต้องทำกับภาพ

คนอื่น ๆ ให้คำตอบด้วยรายละเอียดทางเทคนิคที่ฉันลืมแม้ว่าฉันจะเป็นโปรแกรมเมอร์ (งานของฉันไม่ได้เกี่ยวข้องกับการสื่อสารผ่านเครือข่าย) ดังนั้นฉันแค่อยากจะให้คุณได้รับประสบการณ์ส่วนตัว

ยาวเวลาที่ผ่านมาเมื่อผมใช้ในการเผาไหม้ซีดีบ่อยครั้งหนึ่งมันเคยเกิดขึ้นกับผมที่จะได้ดาวน์โหลดนี้กระจาย Linux ISO ซึ่งปรากฏว่าได้ดาวน์โหลดอย่างถูกต้อง ซีดีล้มเหลวฉันดังนั้นฉันตรวจสอบไฟล์ที่ดาวน์โหลดมาและมันไม่ตรงกัน ดังนั้นฉันดาวน์โหลดอีกครั้งและใช้งานได้ ดังนั้นสิ่งนี้เกิดขึ้นเพียงครั้งเดียวในรอบ 15 ปีตั้งแต่ฉันเป็นผู้ใช้คอมพิวเตอร์และการเขียนโปรแกรมขั้นสูง (ใช้งานคอมพิวเตอร์มาตั้งแต่อายุ 11, 19 ปีที่แล้วและฉันเผาแผ่นดิสก์มากกว่าพันแผ่น) แต่มันเป็นข้อพิสูจน์ว่ามันสามารถเกิดขึ้นได้

มันก็เกิดขึ้นกับฉันผ่าน BitTorrent หนึ่งหรือสองครั้งดังนั้นจึงไม่ปลอดภัยเช่นกัน เมื่อบังคับให้ตรวจสอบไฟล์ที่ดาวน์โหลดซ้ำมันจะระบุชิ้นส่วนที่เสียหาย

ข้อสรุปของฉันคือ HTTP (พึ่งพา TCP) อาจปลอดภัยเท่าที่ได้รับ แต่อินเทอร์เน็ตหมายความว่ามีโหนดตัวกลางระหว่างอุปกรณ์ของคุณและเซิร์ฟเวอร์และไม่มีการบอกว่าจะเกิดอะไรขึ้น (แพ็คเก็ตจะหายไปทั้งหมด เวลา) และบางครั้งคอมพิวเตอร์ไม่สามารถบอกได้ว่าข้อมูลผิดฉันเดา

ไม่มีใครสามารถตอบได้ว่ามันจะคุ้มค่ากับปัญหาหรือไม่ - ขึ้นอยู่กับบริบทและฉันแน่ใจว่าคุณสามารถตัดสินได้ด้วยตัวเอง สำหรับฉันมันไม่คุ้มค่ากับเวลาส่วนใหญ่ ถ้าฉันจะติดตั้งระบบปฏิบัติการฉันจะตรวจสอบภาพที่ดาวน์โหลดมาก่อน

หมายเหตุ: ความจริงที่ว่าฉันเพียงครั้งเดียวหรือสองครั้งพบว่าการดาวน์โหลดที่เสียหายไม่ได้หมายความว่ามันเกิดขึ้นแล้วเท่านั้น บางทีบางครั้งมันก็ไม่เข้าทางคุณจึงไม่สังเกต

แก้ไข: ฉันยังมีโปรแกรมเมอร์ที่มีประสบการณ์มากกว่าคนอื่น ๆ ในที่ทำงานโต้แย้ง (ด้วยความขุ่นเคืองแม้กระทั่งบางอย่าง) ที่แฮชการตรวจสอบความถูกต้องของข้อมูลเหล่านี้ทำให้เป็นไปได้ที่จะทราบว่าไฟล์นั้นเป็นบิตเหมือนเดิมหรือไม่ ความจริงที่ว่าไฟล์สองไฟล์ส่งผลให้แฮชเดียวกันไม่ได้หมายความว่ามันเหมือนกัน - เพียงแค่หมายความว่ามันไม่น่าเป็นไปได้มากที่พวกเขาจะแตกต่างกัน วิธีที่มีประโยชน์คือเมื่อไฟล์ไม่เหมือนกันและโดยเฉพาะอย่างยิ่งเมื่อแตกต่างกันมากรหัสแฮชที่ได้จะไม่เหมือนเดิม (มีโอกาสน้อยที่การทดสอบนี้จะล้มเหลว) พูดน้อย - หากรหัสแฮชแตกต่างกันคุณรู้ว่าไฟล์ต่างกัน