Czy warto weryfikować ISO pobrane z oficjalnej strony internetowej?

Pobrałem ISO z https://www.ubuntu.com/download , wybierając domyślną opcję „Ubuntu Desktop”.

Witryna zawiera link do strony https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, który zawiera instrukcje dotyczące weryfikacji ubuntu.

Wydaje się to dość nużące i zastanawiam się, jak realistyczny jest problem z ISO pobranym z oficjalnej strony. Zauważam, że sam proces weryfikacji wymaga ode mnie pobrania oprogramowania, które jest dla mnie nowe, co wprowadza na mnie kolejny wektor ataku, nawet gdy zamykam inny.

Ze względu na swoją wartość planuję używać tylko Live USB i nie instalować w pełni Ubuntu. Czy to robi różnicę?

Tak, warto.

Pobrane ISO zajmuje tylko kilka sekund i md5sum / etc zapewnia bezpieczeństwo, że nie zostałeś zaatakowany przez MITM itp. Poza tym sekundy te są ubezpieczeniem na [godziny] straconego czasu, jeśli popełniłeś kilka błędów i konieczne jest debugowanie goniąc za błędami, których nikt inny nie dostaje z powodu twojego pobrania (np. masz problemy z siecią, więc spróbuj debugować; ale sieć jest zapchana, ponieważ to właśnie kilka błędów było ...) Pomyśl o kontroli sumy jako bardzo tanie ubezpieczenie.

Oprogramowanie potrzebne do md5sum zwykle będzie z innego źródła (starsza wersja, czasami inne os / distro), jest bardzo małe i jest już obecne dla wielu / większości z nas.

Ponadto pozwala mi pobierać z lokalnego serwera lustrzanego, ale ponieważ pobieram md5sum ze źródła kanonicznego; Mam ubezpieczenie, że lustro się z nim nie bawiło. Znowu bardzo tanie ubezpieczenie, które kosztuje mnie ~ 3 sekundy.

Tak, bardzo BARDZO ZALECANE jest sprawdzenie pobranego obrazu, oto kilka powodów:

• Wystarczy kilka sekund i mogę powiedzieć, czy integralność pliku jest poprawna, tzn. Plik nie jest uszkodzony. (Częstą przyczyną korupcji jest błąd przesyłania spowodowany przyczynami technicznymi, takimi jak niestabilne połączenie internetowe z komentarza @sudodus.)
• Jeśli plik jest uszkodzony i nagrywasz ten obraz ISO na napęd CD / USB, a on nie działa, lub podczas instalacji może się nie powieść, powoduje to stratę czasu i płyt CD.
• Jesteś pewien, że używasz oficjalnej CZYSTEJ wersji dowolnego obrazu ISO lub oprogramowania, a nie zmodyfikowanej wersji (być może przez atakujących), zobacz ten raport: Watch Dogs pirates dotknięty przez szkorbutowe szkodliwe oprogramowanie wydobywające bitcoiny

Jeśli masz już dystrybucję GNU Linux, możesz użyć md5sum , jeśli jesteś w systemie Windows, możesz użyć: WinMD5Free .

Mam nadzieję, że to pomoże.

Tak, ale Ubuntu wydaje się utrudniać.

W najlepszym przypadku wystarczy pobrać foo.iso i foo.iso.sig i kliknąć plik .sig (lub użyć gpg na powłoce w pliku .sig) po jednorazowym zaimportowaniu klucza. To kosztuje kilka sekund.

Ubuntu wydaje się komplikować, zmuszając cię do sprawdzania sum sha256 z pliku, podczas gdy tylko sam plik jest podpisany. Jest to dla nich wygodne, ale więcej pracy dla ich użytkowników.

Z drugiej strony, gdy plik został właśnie wygenerowany sha256sum * >SHA256SUMS, możesz go sprawdzić za pomocą sha256 -ci uzyskać OK/Bad/Not-Foundjako wynik.

Sprawdź swoją /proc/net/devi sprawdź, ile otrzymałeś do tej pory złych ramek TCP. Jeśli zobaczysz wartość jednocyfrową (mam nadzieję, że zero), czytaj dalej. Jeśli masz dużo błędów sieciowych lub błędów, to na pewno użyj MD5, aby zweryfikować pobrane pliki (choć wolę zbadać główną przyczynę, ponieważ niewiarygodna sieć oznacza, że ​​nie możesz ufać cokolwiek, co otrzymujesz przez HTTP).

Podczas pobierania za pośrednictwem protokołu TCP, który sumuje wszystkie przesyłane dane, istnieje bardzo małe prawdopodobieństwo uszkodzenia pliku o dokładnie takim samym rozmiarze. Jeśli masz pewność, że pobierasz dane z oficjalnej strony (zazwyczaj używasz HTTPS, a sprawdzenie certyfikatu mija), zwykle wystarcza sprawdzenie, czy pobieranie zostało zakończone. Przyzwoite przeglądarki internetowe i tak zwykle sprawdzają za ciebie, mówiąc coś w stylu „pobieranie nie powiodło się”, jeśli nie otrzymają oczekiwanej ilości danych, chociaż widziałem przeglądarki, które po prostu decydują się zatrzymać niekompletny plik, nic nie mówiąc do użytkownika, w którym to przypadku można ręcznie sprawdzić rozmiar pliku.

Oczywiście weryfikacja sumy kontrolnej nadal ma swoją wartość, obejmując Cię w przypadkach, gdy pobierany plik jest uszkodzony na serwerze, ale nie zdarza się to zbyt często. Jeśli jednak zamierzasz użyć swojego pliku do pobrania czegoś ważnego, to warto zrobić krok.

Jak powiedział @sudodus w komentarzach, użycie Bittorrenta zamiast HTTPS jest kolejną opcją, ponieważ klienci torrentów wykonują znacznie lepszą pracę w przypadku niekompletnych / uszkodzonych danych, jak robią to przeglądarki internetowe.

Pamiętaj, że sumy kontrolne tak naprawdę nie zapobiegają atakowi, po to właśnie jest HTTPS.

Dowiedziałem się, jak nie sprawdzać sumowania. Nagrywałbym płytę CD z ISO, które uległo uszkodzeniu podczas pobierania i nie można było go uruchomić lub wystąpiły błędy podczas uruchamiania.

Jak powiedzieli inni, zajmuje to niewiele czasu.

Widzisz to tylko z jednym przypadkiem użycia, w konfiguracji z masową automatyzacją pomaga to zweryfikować; skrypty uruchamiające sprawdzanie, zanim przejdziemy do tego, co trzeba zrobić z obrazem

Inni udzielili odpowiedzi ze szczegółami technicznymi, o których zapomniałem, chociaż jestem programistą (moja praca nie obejmuje komunikacji w sieciach), więc dam ci tylko poznać osobiste doświadczenia.

Długi czas temu, kiedy często wykorzystywane do nagrywania płyt CD, to raz zdarzyło mi się pobrało to dystrybucja Linuksa ISO których okazało się, że pobrane prawidłowo. Płyta CD mnie zawiodła, więc sprawdziłem pobrany plik i nie pasuje. Pobrałem więc ponownie i zadziałało. Tak się zdarzyło tylko raz na 15 lat, odkąd jestem zaawansowanym użytkownikiem i programistą (korzystam z komputerów od 11, 19 lat temu i spaliłem ponad tysiąc płyt). Ale to dowód, że tak się może stać.

Zdarzyło mi się to również za pośrednictwem BitTorrenta raz lub dwa razy, więc nie jest to również bezpieczne. Wymuszając ponowne sprawdzenie pobranego pliku, zidentyfikował uszkodzony element.

Mój wniosek jest taki, że HTTP (poleganie na TCP) może być tak bezpieczne, jak to tylko możliwe, ale Internet oznacza, że ​​między twoim urządzeniem a serwerem są węzły pośredniczące i nie wiadomo, co może się stać po drodze (pakiety są nawet tracone czas), a czasem komputery nie są w stanie stwierdzić, że dane są nieprawidłowe.

Nikt nie może odpowiedzieć, czy byłoby to dla ciebie warte kłopotu - zależy to od kontekstu i jestem pewien, że sam możesz to ocenić. Dla mnie przez większość czasu nie warto. Gdybym zamierzał zainstalować system operacyjny, sprawdziłbym wcześniej pobrany obraz.

Uwaga: fakt, że tylko raz lub dwa razy zauważyłem uszkodzone pobieranie, nie oznacza, że ​​zdarzyło się to dopiero wtedy. Może innym razem nie przeszkadza, więc nie zauważasz.

EDYCJA: Miałem nawet innych bardziej doświadczonych programistów w pracy argumentujących (nawet z pewnym oburzeniem), że te skróty weryfikacji integralności danych pozwalają wiedzieć, czy plik jest nieco identyczny z oryginałem, ale wiem (przeczytałem), że fakt, że dwa pliki prowadzą do tego samego skrótu, nie oznacza, że ​​są one identyczne - oznacza tylko, że jest bardzo mało prawdopodobne, że się różnią. Przydatne jest to, że gdy pliki nie są identyczne, a zwłaszcza gdy są bardzo różne, ich wynikowe kody skrótu praktycznie nigdy nie będą takie same (jest jeszcze mniej prawdopodobne, że test się nie powiedzie). Krótko mówiąc - jeśli kody skrótu są różne, wiadomo, że pliki są różne.