मुखपृष्ठ » कैसे » लिनक्स आईएसओ चेकसम को कैसे सत्यापित करें और पुष्टि करें कि यह छेड़छाड़ नहीं किया गया है

    लिनक्स आईएसओ चेकसम को कैसे सत्यापित करें और पुष्टि करें कि यह छेड़छाड़ नहीं किया गया है

    पिछले महीने, लिनक्स टकसाल की वेबसाइट को हैक कर लिया गया था, और एक संशोधित आईएसओ डाउनलोड के लिए रखा गया था जिसमें एक बैकडोर शामिल था। जबकि समस्या जल्दी से ठीक हो गई थी, यह लिनक्स आईएसओ की जाँच करने के महत्व को दर्शाता है जिसे आप चलाने और स्थापित करने से पहले डाउनलोड करते हैं। ऐसे.

    लिनक्स वितरण चेकसमों को प्रकाशित करते हैं ताकि आप उन फ़ाइलों की पुष्टि कर सकें जिन्हें आप डाउनलोड करते हैं जो वे होने का दावा करते हैं, और ये अक्सर हस्ताक्षरित होते हैं ताकि आप चेकसमों को सत्यापित कर सकें कि उनके साथ छेड़छाड़ नहीं की गई है। यह विशेष रूप से उपयोगी है यदि आप मुख्य साइट के अलावा कहीं से एक आईएसओ डाउनलोड करते हैं-जैसे कि थर्ड-पार्टी मिरर, या बायटॉरेंट के माध्यम से, जहां लोगों के लिए फ़ाइलों के साथ छेड़छाड़ करना बहुत आसान है.

    यह प्रक्रिया कैसे काम करती है

    आईएसओ जाँचने की प्रक्रिया थोड़ी जटिल है, इसलिए इससे पहले कि हम सटीक चरणों में उतरें, आइए ठीक से समझाएँ कि यह प्रक्रिया क्या है:

    1. आप लिनक्स वितरण की वेबसाइट से लिनक्स आईएसओ फाइल डाउनलोड करेंगे-या कहीं और-हमेशा की तरह.
    2. आप लिनक्स वितरण वेबसाइट से एक चेकसम और उसका डिजिटल हस्ताक्षर डाउनलोड करेंगे। ये दो अलग-अलग TXT फाइलें हो सकती हैं, या आपको डेटा के दोनों टुकड़ों वाली एक TXT फाइल मिल सकती है.
    3. आपको लिनक्स वितरण से संबंधित सार्वजनिक PGP कुंजी मिलेगी। यह आपको लिनक्स वितरण की वेबसाइट या एक ही लोगों द्वारा प्रबंधित एक अलग कुंजी सर्वर से मिल सकता है, जो आपके लिनक्स वितरण पर निर्भर करता है.
    4. आप सत्यापित करने के लिए PGP कुंजी का उपयोग करेंगे कि चेकसम का डिजिटल हस्ताक्षर उसी व्यक्ति द्वारा बनाया गया था जिसने इस मामले में की-लाइन बनाई थी, उस लिनक्स वितरण के अनुरक्षक। यह पुष्टि करता है कि चेकसम में खुद से छेड़छाड़ नहीं की गई है.
    5. आप अपनी डाउनलोड की गई ISO फ़ाइल का चेकसम उत्पन्न करेंगे, और यह सत्यापित करें कि आपके द्वारा डाउनलोड की गई चेकसम TXT फ़ाइल से मेल खाती है। यह पुष्टि करता है कि ISO फ़ाइल के साथ छेड़छाड़ या दूषित नहीं किया गया है.

    प्रक्रिया विभिन्न आईएसओ के लिए थोड़ी भिन्न हो सकती है, लेकिन यह आमतौर पर उस सामान्य पैटर्न का अनुसरण करती है। उदाहरण के लिए, कई अलग-अलग प्रकार के चेकसम हैं। परंपरागत रूप से, एमडी 5 रकम सबसे लोकप्रिय रही है। हालांकि, SHA-256 sums अब आधुनिक लिनक्स वितरण द्वारा अधिक बार उपयोग किया जाता है, क्योंकि SHA-256 सैद्धांतिक हमलों के लिए अधिक प्रतिरोधी है। हम यहाँ मुख्य रूप से SHA-256 रकम पर चर्चा करेंगे, हालाँकि MD5 रकम के लिए एक समान प्रक्रिया काम करेगी। कुछ लिनक्स डिस्ट्रोस भी SHA-1 रकम प्रदान कर सकते हैं, हालांकि ये कम सामान्य भी हैं.

    इसी तरह, कुछ डिस्ट्रोस पीजीपी के साथ अपने चेकसम पर हस्ताक्षर नहीं करते हैं। आपको केवल चरण 1, 2 और 5 करने की आवश्यकता होगी, लेकिन यह प्रक्रिया बहुत अधिक कमजोर है। आखिरकार, यदि हमलावर आईएसओ फाइल को डाउनलोड के लिए बदल सकता है तो वे चेकसम को भी बदल सकते हैं.

    PGP का उपयोग करना अधिक सुरक्षित है, लेकिन मूर्खतापूर्ण नहीं है। हमलावर अभी भी उस सार्वजनिक कुंजी को अपने साथ बदल सकता है, वे अभी भी आपको यह सोचने में चकित कर सकते हैं कि आईएसओ वैध है। हालांकि, अगर सार्वजनिक कुंजी को एक अलग सर्वर पर होस्ट किया जाता है-जैसा कि लिनक्स टकसाल के साथ होता है-तो यह बहुत कम संभव हो जाता है (क्योंकि उन्हें सिर्फ एक के बजाय दो सर्वरों को हैक करना होगा)। लेकिन अगर सार्वजनिक कुंजी को आईएसओ और चेकसम के समान सर्वर पर संग्रहीत किया जाता है, जैसा कि कुछ विकृतियों के साथ होता है, तो यह बहुत सुरक्षा की पेशकश नहीं करता है.

    फिर भी, यदि आप एक चेकसम फ़ाइल पर PGP हस्ताक्षर को सत्यापित करने का प्रयास कर रहे हैं और फिर उस चेकसम के साथ अपने डाउनलोड को सत्यापित कर रहे हैं, तो आप लिनक्स आईओएस डाउनलोड करने वाले उपयोगकर्ता के रूप में कर सकते हैं। आप अभी भी बहुत से अधिक सुरक्षित हैं जो परेशान नहीं करते हैं.

    लिनक्स पर एक चेकसम को कैसे सत्यापित करें

    हम यहां एक उदाहरण के रूप में लिनक्स मिंट का उपयोग करेंगे, लेकिन आपके द्वारा ऑफ़र किए गए सत्यापन विकल्पों को खोजने के लिए आपको अपने लिनक्स वितरण की वेबसाइट को खोजना होगा। लिनक्स टकसाल के लिए, इसके डाउनलोड दर्पण पर आईएसओ डाउनलोड के साथ दो फाइलें दी गई हैं। आईएसओ डाउनलोड करें, और फिर अपने कंप्यूटर पर "sha256sum.txt" और "sha256sum.txt.gpg" फाइलें डाउनलोड करें। फ़ाइलों को राइट-क्लिक करें और उन्हें डाउनलोड करने के लिए "लिंक के रूप में सहेजें" का चयन करें.

    अपने लिनक्स डेस्कटॉप पर, एक टर्मिनल विंडो खोलें और PGP कुंजी डाउनलोड करें। इस स्थिति में, लिनक्स टकसाल की PGP कुंजी उबंटू के प्रमुख सर्वर पर होस्ट की जाती है, और हमें इसे प्राप्त करने के लिए निम्नलिखित कमांड को चलाना होगा.

    gpg --keyserver hkp: //keyserver.ubuntu.com --recv-keys 0FF405B2

    आपकी लिनक्स डिस्ट्रो की वेबसाइट आपको उस कुंजी की ओर इशारा करेगी जो आपको चाहिए.

    अब हमारे पास वह सब कुछ है जो हमें चाहिए: आईएसओ, चेकसम फाइल, चेकसम की डिजिटल सिग्नेचर फाइल, और पीजीपी कुंजी। इसके बाद, उस फ़ोल्डर में परिवर्तन करें जिसे वे डाउनलोड किए गए थे ... 

    सीडी ~ / डाउनलोड

    … और चेकसम फ़ाइल के हस्ताक्षर की जांच करने के लिए निम्नलिखित कमांड चलाएँ:

    gpg - sha256sum.txt.gpg sha256sum.txt बताएं

    यदि GPG कमांड आपको बताती है कि डाउनलोड किए गए sha256sum.txt फ़ाइल में एक "अच्छा हस्ताक्षर" है, तो आप जारी रख सकते हैं। नीचे स्क्रीनशॉट की चौथी पंक्ति में, GPG ने हमें सूचित किया कि यह एक "अच्छा हस्ताक्षर" है जो क्लेमेंट लेफेब्रे, लिनक्स मिंट के निर्माता के साथ जुड़े होने का दावा करता है।.

    चिंता न करें कि कुंजी "विश्वसनीय हस्ताक्षर" से प्रमाणित नहीं है। इसका कारण यह है कि पीजीपी एन्क्रिप्शन काम करता है-आपने भरोसेमंद लोगों से चाबियाँ आयात करके विश्वास का एक वेब सेट नहीं किया है। यह त्रुटि बहुत सामान्य होगी.

    अंत में, अब जब हम जानते हैं कि चेकसम लिनक्स मिंट मेंटेनर्स द्वारा बनाया गया था, तो डाउनलोड की गई .iso फ़ाइल से चेक जेनरेट करने के लिए निम्न कमांड चलाएँ और आपके द्वारा डाउनलोड किए गए चेकसम TXT फ़ाइल से इसकी तुलना करें:

    sha256sum - जाँचें sha256sum.txt

    यदि आपने केवल एक आईएसओ फ़ाइल डाउनलोड की है तो आपको बहुत सारी "ऐसी कोई फ़ाइल या निर्देशिका" संदेश नहीं दिखाई देंगे, लेकिन यदि आपने चेकसम से मिलान किया है तो आपको फ़ाइल के लिए "ओके" संदेश देखना चाहिए।.

    आप एक .iso फ़ाइल पर सीधे चेकसम कमांड भी चला सकते हैं। यह .iso फ़ाइल की जाँच करेगा और इसके चेकसम को थूक देगा। आप तब देख सकते हैं कि यह वैध चेकसम से मेल खाता है.

    उदाहरण के लिए, एक ISO फ़ाइल का SHA-256 योग पाने के लिए:

    sha256sum /path/to/file.iso

    या, यदि आपके पास md5sum मान है और किसी फ़ाइल का md5sum प्राप्त करने की आवश्यकता है:

    md5sum /path/to/file.iso

    यदि वे मेल खाते हैं, तो चेकसम TXT फ़ाइल के साथ परिणाम की तुलना करें.

    विंडोज पर एक चेकसम को कैसे सत्यापित करें

    यदि आप विंडोज मशीन से लिनक्स आईएसओ डाउनलोड कर रहे हैं, तो आप चेकसम को भी सत्यापित कर सकते हैं-हालांकि विंडोज में आवश्यक सॉफ्टवेयर बिल्ट-इन नहीं है। तो, आपको ओपन-सोर्स Gpg4win टूल को डाउनलोड और इंस्टॉल करना होगा.

    अपने लिनक्स डिस्ट्रो के हस्ताक्षरित कुंजी फ़ाइल और चेकसम फ़ाइलों का पता लगाएँ। हम यहां उदाहरण के रूप में फेडोरा का उपयोग करेंगे। फेडोरा की वेबसाइट चेकसम डाउनलोड प्रदान करती है और हमें बताती है कि हम फेडोरा हस्ताक्षर की कुंजी https://getfedora.org/static/fedora.gpg से डाउनलोड कर सकते हैं.

    जब आप इन फ़ाइलों को डाउनलोड कर लेते हैं, तो आपको Gpg4win के साथ शामिल क्लियोपेट्रा प्रोग्राम का उपयोग करके हस्ताक्षर कुंजी स्थापित करना होगा। क्लियोपेट्रा लॉन्च करें, और फ़ाइल> आयात प्रमाण पत्र पर क्लिक करें। आपके द्वारा डाउनलोड की गई .gpg फ़ाइल का चयन करें.

    अब आप देख सकते हैं कि डाउनलोड की गई चेकसम फाइल आपके द्वारा आयात की गई प्रमुख फाइलों में से एक के साथ साइन की गई थी। ऐसा करने के लिए, फ़ाइल> डिक्रिप्ट / फ़ाइलें सत्यापित करें पर क्लिक करें। डाउनलोड की गई चेकसम फाइल का चयन करें। "इनपुट फ़ाइल एक अलग हस्ताक्षर" विकल्प को अनचेक करें और "डिक्रिप्ट / सत्यापित करें" पर क्लिक करें।

    यदि आप इसे इस तरह से करते हैं, तो आपको एक त्रुटि संदेश दिखाई देना सुनिश्चित है, क्योंकि आप उन फेडोरा प्रमाणपत्रों की पुष्टि करने की परेशानी से नहीं गुजरे हैं, जो वास्तव में वैध हैं। यह एक अधिक कठिन काम है। यह पीजीपी काम करने के लिए डिज़ाइन किया गया है-आप मिलते हैं और व्यक्ति में चाबियों का आदान-प्रदान करते हैं, उदाहरण के लिए, और एक साथ विश्वास का एक वेब टुकड़ा। ज्यादातर लोग इस तरह से इसका इस्तेमाल नहीं करते हैं.

    हालाँकि, आप अधिक विवरण देख सकते हैं और पुष्टि कर सकते हैं कि आपके द्वारा आयात की गई चाबियों में से एक चेकसम फाइल पर हस्ताक्षर किए गए थे। यह वैसे भी जाँच किए बिना डाउनलोड की गई आईएसओ फ़ाइल पर भरोसा करने से बहुत बेहतर है.

    अब आप फ़ाइल का चयन कर सकते हैं> चेकसम फाइल को सत्यापित करें और चेकसम फाइल में जानकारी की पुष्टि करें। डाउनलोड की गई फ़ाइल से मेल खाती है। हालाँकि, यह हमारे लिए काम नहीं करता था-शायद यह फेडोरा की चेकसम फाइल को ठीक करने का तरीका है। जब हमने लिनक्स मिंट की sha256sum.txt फाइल के साथ यह कोशिश की, तो यह काम कर गया.

    यदि यह आपकी पसंद के लिनक्स वितरण के लिए काम नहीं करता है, तो यहां एक समाधान है। सबसे पहले, सेटिंग्स> क्लियोपेट्रा को कॉन्फ़िगर करें पर क्लिक करें। "क्रिप्टो ऑपरेशंस" का चयन करें, "फाइल ऑपरेशंस" चुनें और "Sha256sum" चेकसम प्रोग्राम का उपयोग करने के लिए क्लियोपेट्रा सेट करें, क्योंकि यह विशेष चेकसम के साथ उत्पन्न हुआ था। यदि आपके पास एमडी 5 चेकसम है, तो यहां सूची में "md5sum" चुनें.

    अब, फ़ाइल> चेकसम फाइल बनाएँ पर क्लिक करें और अपनी डाउनलोड की गई आईएसओ फ़ाइल चुनें। क्लियोपेट्रा डाउनलोड की .iso फ़ाइल से एक चेकसम उत्पन्न करेगा और इसे एक नई फ़ाइल में बचाएगा.

    आप इन दोनों फाइलों को डाउनलोड कर सकते हैं-डाउनलोड की गई चेकसम फाइल और जिसे आपने अभी जनरेट किया है-नोटपैड जैसे टेक्स्ट एडिटर में। अपनी खुद की आंखों के साथ चेकसम की पुष्टि करें। यदि यह समान है, तो आपने अपनी डाउनलोड की गई आईएसओ फ़ाइल के साथ छेड़छाड़ नहीं की है.

    ये सत्यापन विधियाँ मूल रूप से मैलवेयर से बचाव के लिए नहीं थी। उन्हें यह पुष्टि करने के लिए डिज़ाइन किया गया था कि आपकी ISO फ़ाइल सही तरीके से डाउनलोड की गई है और डाउनलोड के दौरान दूषित नहीं हुई है, इसलिए आप बिना किसी चिंता के इसे जला और उपयोग कर सकते हैं। वे पूरी तरह से मूर्खतापूर्ण समाधान नहीं हैं, क्योंकि आपको पीजीपी कुंजी को डाउनलोड करने पर भरोसा करना होगा। हालाँकि, यह अभी भी एक आईएसओ फ़ाइल का उपयोग करने की तुलना में बहुत अधिक आश्वासन देता है यह बिल्कुल जाँच के बिना.

    छवि क्रेडिट: फ़्लिकर पर एडुआर्डो क्वाग्लियाटो

    कैसे सत्यापित करें कि आपका मैक टाइम मशीन बैकअप ठीक से काम कर रहा है
    नेटवर्क पर साझा किए गए व्हाट्सएप को कैसे देखें और एक्सेस करें
    विंडोज 10 में Zsh (या अन्य शेल) का उपयोग कैसे करें
    अगला लेख
    वर्चुअल वीजा कार्ड से पेपाल अकाउंट को कैसे वेरिफाई करें
    पिछला लेख
    त्वरित मोबाइल पृष्ठों (एएमपी) को कैसे मान्य करें