Как проверить загруженный файл, учитывая хеши и файл .gpg
Вы можете добавить command перед командой aliased, например
command ls
Или запустить исходный исполняемый файл, объединив which
[ f5]
Он вернет «/ bin / ls», поэтому с
`which ls`вы можете выполнить его напрямую.
3 ответа
Verfication не обязательно является самым простым процессом, в зависимости от того, насколько надежным или параноидальным (для использования народного) вы хотите быть.
Когда вы загружаете ISO, вам также будет предложен хэш проверьте загрузку.
Если нет, на странице загрузки Ubuntu есть прямая ссылка; доступ к родительской папке: http://releases.ubuntu.com/16.04.2/
Файлы сумм SHA-256 есть, с сигнатурами для проверки списков сумм
Шаг 1
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
, это вернет некоторый результат
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using RSA key ID EFE21092
Ключевые отпечатки пальцев завершены; теперь вам нужно импортировать их с сервера ключей
Шаг 1
Импортировать ключи с сервера ключей
gpg2 --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys FBB75451 EFE21092
, которые подтвердят, что вы хотите знать:
gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported
gpg: marginals needed: 3 completes needed: 1 trust model: PGP
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Total number processed: 2
gpg: imported: 2
Шаг 3
Теперь вы можете повторно запустить команду подтверждения
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
Вы получите предупреждения о доверенных подписях если вы никогда раньше не расширили сеть доверия. Если вы доверяете отпечаткам пальцев, полученным от сервера ключей, это нормально. Если вы хотите пройти лишнюю милю, вы можете попросить кого-то с расширенной сетью доверия проверить вас;
Шаг 3
После того, как вы загрузили требуемый ISO, запустите инструмент контрольной суммы против этого:
sha256sum your_distro.iso
Убедитесь, что сумма соответствует той, что находится на сайте, или в файле SHA256SUM (который будет просто текстовым файлом с контрольными суммами внутри него).
Опасения по ссылке reddit
В отношении проблем, связанных с сайтами ISO, не использующими HTTPS: сервер является известным сервером, а контент - известным контентом.
Если файлы скомпрометированы, говорят, что на жестких дисках сервера нам нужно что-то еще: поэтому мы проверяем подлинность и целостность данных покоя с использованием подписей.
Озабоченность ссылки reddit , сначала отказ от ответственности: События с ключевыми сигналами
Единственное, на что вам действительно нужно быть уверенным, - это то, что вы доверяете ключам, полученным от сервера ключей, и именно там появляется сеть доверия.
Если ваш друг или ваш коллега уже установили цепочка доверия, которая может проверять отпечатки пальцев, и вы доверяете этому человеку, тогда вы можете доверять отпечатку пальца.
Удостоверение бедного человека - проверить разные и различные веб-сайты и форумы, чтобы увидеть что отпечатки пальцев у вас совпадают с тем, что было замечено и найдено через другие веб-сайты.
Если злоумышленник действительно заменил ISO Ubuntu на fa kes и подстановленные поддельные файлы подписи, доверять ключам, полученным с сервера ключей , удалось переключить ключи на сервере ключей, вы все равно можете быть уверены, что
ключи не будут совпадать с клавишами в импортированные ключи другого человека (до тех пор, пока у них есть скомпрометированные ключи) (сценарий доверия), любые ключи, задокументированные на форумах по сети (как в вышеприведенном сценарии, где я вставил то, что у меня есть), также вряд ли были (если все сайты не были взломаны или ключи были переключены задолго до того, как кто-либо запустил их документирование на форумах и выходы отладки stackexchange, например)Если вы хотите узнать больше, прочитайте «уроки» узнал "из выпадений с сайта Linux Mint hack, должен предоставить хороший справочный материал по этой самой проблеме.
И да, процесс проверки ISO должен быть намного проще, я дам вам это. [ ! d40]
Verfication не обязательно является самым простым процессом, в зависимости от того, насколько надежным или параноидальным (для использования народного) вы хотите быть.
Когда вы загружаете ISO, вам также будет предложен хэш проверьте загрузку.
Если нет, на странице загрузки Ubuntu есть прямая ссылка; доступ к родительской папке: http://releases.ubuntu.com/16.04.2/
Файлы сумм SHA-256 есть, с сигнатурами для проверки списков сумм
Шаг 1
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
, это вернет некоторый результат
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using RSA key ID EFE21092
Ключевые отпечатки пальцев завершены; теперь вам нужно импортировать их с сервера ключей
Шаг 1
Импортировать ключи с сервера ключей
gpg2 --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys FBB75451 EFE21092
, которые подтвердят, что вы хотите знать:
gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported
gpg: marginals needed: 3 completes needed: 1 trust model: PGP
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Total number processed: 2
gpg: imported: 2
Шаг 3
Теперь вы можете повторно запустить команду подтверждения
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
Вы получите предупреждения о доверенных подписях если вы никогда раньше не расширили сеть доверия. Если вы доверяете отпечаткам пальцев, полученным от сервера ключей, это нормально. Если вы хотите пройти лишнюю милю, вы можете попросить кого-то с расширенной сетью доверия проверить вас;
Шаг 3
После того, как вы загрузили требуемый ISO, запустите инструмент контрольной суммы против этого:
sha256sum your_distro.iso
Убедитесь, что сумма соответствует той, что находится на сайте, или в файле SHA256SUM (который будет просто текстовым файлом с контрольными суммами внутри него).
Опасения по ссылке reddit
В отношении проблем, связанных с сайтами ISO, не использующими HTTPS: сервер является известным сервером, а контент - известным контентом.
Если файлы скомпрометированы, говорят, что на жестких дисках сервера нам нужно что-то еще: поэтому мы проверяем подлинность и целостность данных покоя с использованием подписей.
Озабоченность ссылки reddit , сначала отказ от ответственности: События с ключевыми сигналами
Единственное, на что вам действительно нужно быть уверенным, - это то, что вы доверяете ключам, полученным от сервера ключей, и именно там появляется сеть доверия.
Если ваш друг или ваш коллега уже установили цепочка доверия, которая может проверять отпечатки пальцев, и вы доверяете этому человеку, тогда вы можете доверять отпечатку пальца.
Удостоверение бедного человека - проверить разные и различные веб-сайты и форумы, чтобы увидеть что отпечатки пальцев у вас совпадают с тем, что было замечено и найдено через другие веб-сайты.
Если злоумышленник действительно заменил ISO Ubuntu на fa kes и подстановленные поддельные файлы подписи, доверять ключам, полученным с сервера ключей , удалось переключить ключи на сервере ключей, вы все равно можете быть уверены, что
ключи не будут совпадать с клавишами в импортированные ключи другого человека (до тех пор, пока у них есть скомпрометированные ключи) (сценарий доверия), любые ключи, задокументированные на форумах по сети (как в вышеприведенном сценарии, где я вставил то, что у меня есть), также вряд ли были (если все сайты не были взломаны или ключи были переключены задолго до того, как кто-либо запустил их документирование на форумах и выходы отладки stackexchange, например)Если вы хотите узнать больше, прочитайте «уроки» узнал "из выпадений с сайта Linux Mint hack, должен предоставить хороший справочный материал по этой самой проблеме.
И да, процесс проверки ISO должен быть намного проще, я дам вам это. [ ! d40]
Verfication не обязательно является самым простым процессом, в зависимости от того, насколько надежным или параноидальным (для использования народного) вы хотите быть.
Когда вы загружаете ISO, вам также будет предложен хэш проверьте загрузку.
Если нет, на странице загрузки Ubuntu есть прямая ссылка; доступ к родительской папке: http://releases.ubuntu.com/16.04.2/
Файлы сумм SHA-256 есть, с сигнатурами для проверки списков сумм
Шаг 1
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
, это вернет некоторый результат
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using DSA key ID FBB75451
gpg: Can't check signature: No public key
gpg: Signature made Fri 17 Feb 2017 00:04:27 GMT using RSA key ID EFE21092
Ключевые отпечатки пальцев завершены; теперь вам нужно импортировать их с сервера ключей
Шаг 1
Импортировать ключи с сервера ключей
gpg2 --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys FBB75451 EFE21092
, которые подтвердят, что вы хотите знать:
gpg: key EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported
gpg: key FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported
gpg: marginals needed: 3 completes needed: 1 trust model: PGP
gpg: depth: 0 valid: 1 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 1u
gpg: Total number processed: 2
gpg: imported: 2
Шаг 3
Теперь вы можете повторно запустить команду подтверждения
gpg2 --verify SHA256SUMS.gpg SHA256SUMS
Вы получите предупреждения о доверенных подписях если вы никогда раньше не расширили сеть доверия. Если вы доверяете отпечаткам пальцев, полученным от сервера ключей, это нормально. Если вы хотите пройти лишнюю милю, вы можете попросить кого-то с расширенной сетью доверия проверить вас;
Шаг 3
После того, как вы загрузили требуемый ISO, запустите инструмент контрольной суммы против этого:
sha256sum your_distro.iso
Убедитесь, что сумма соответствует той, что находится на сайте, или в файле SHA256SUM (который будет просто текстовым файлом с контрольными суммами внутри него).
Опасения по ссылке reddit
В отношении проблем, связанных с сайтами ISO, не использующими HTTPS: сервер является известным сервером, а контент - известным контентом.
Если файлы скомпрометированы, говорят, что на жестких дисках сервера нам нужно что-то еще: поэтому мы проверяем подлинность и целостность данных покоя с использованием подписей.
Озабоченность ссылки reddit , сначала отказ от ответственности: События с ключевыми сигналами
Единственное, на что вам действительно нужно быть уверенным, - это то, что вы доверяете ключам, полученным от сервера ключей, и именно там появляется сеть доверия.
Если ваш друг или ваш коллега уже установили цепочка доверия, которая может проверять отпечатки пальцев, и вы доверяете этому человеку, тогда вы можете доверять отпечатку пальца.
Удостоверение бедного человека - проверить разные и различные веб-сайты и форумы, чтобы увидеть что отпечатки пальцев у вас совпадают с тем, что было замечено и найдено через другие веб-сайты.
Если злоумышленник действительно заменил ISO Ubuntu на fa kes и подстановленные поддельные файлы подписи, доверять ключам, полученным с сервера ключей , удалось переключить ключи на сервере ключей, вы все равно можете быть уверены, что
ключи не будут совпадать с клавишами в импортированные ключи другого человека (до тех пор, пока у них есть скомпрометированные ключи) (сценарий доверия), любые ключи, задокументированные на форумах по сети (как в вышеприведенном сценарии, где я вставил то, что у меня есть), также вряд ли были (если все сайты не были взломаны или ключи были переключены задолго до того, как кто-либо запустил их документирование на форумах и выходы отладки stackexchange, например)Если вы хотите узнать больше, прочитайте «уроки» узнал "из выпадений с сайта Linux Mint hack, должен предоставить хороший справочный материал по этой самой проблеме.
И да, процесс проверки ISO должен быть намного проще, я дам вам это. [ ! d40]