validation从官方网站下载的ISO是否值得?

我从https://www.ubuntu.com/download下载了ISO,选择了默认的“Ubuntu Desktop”选项。

该网站链接页面https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu ,其中提供了如何validationubuntu的说明。

这看起来相当繁琐,我想知道从官方网站下载ISO有问题是多么现实。 我注意到validation过程本身需要我下载对我来说很新的软件,因此即使在我关闭另一个时,也会向我引入另一个攻击向量。

对于它的价值,我打算只使用Live USB而不是完全安装Ubuntu。 这有什么区别吗?

是的,这是值得的。

md5sum / etc下载ISO只需几秒钟,它可以让您放心,不会受到MITM等的攻击。除此之外,如果您遇到一些错误并需要调试,这些秒数可以保证浪费时间追逐错误没有其他人因为你的下载而获得(例如,你有网络问题,所以尝试调试;但网络被塞满了,因为这就是错误的一些……)认为校验和检查是非常便宜的保险。

md5sum所需的软件通常来自其他来源(旧版本,有时甚至是不同的操作系统/发行版),非常小,并且已经存在于我们很多/大多数人。

此外,它允许我从本地镜像下载,但因为我从Canonical源获取md5sum; 我保证镜子不玩它。 再次非常便宜的保险,花费我~3秒的时间。

是的, 非常推荐您validation下载的图像,原因如下:

  • 只需几秒钟就可以告诉您文件的完整性是否正确,我的意思是,文件没有损坏。 (腐败的一个常见原因是由于技术原因造成的转移错误,例如来自@sudodus评论的互联网连接不稳定。)
  • 如果文件已损坏并且您将此ISO映像刻录到CD / USB驱动器中,并且它无法正常工作,或者在安装过程中可能会失败,则会导致浪费时间和CD。
  • 您确定您使用的是任何类型的ISO映像或软件的官方CLEAN版本而不是修改版本(可能是攻击者),请参阅此报告: 看门狗盗贼受坏血病的比特币挖掘恶意软件

如果你已经有一个GNU Linux发行版,你可以使用md5sum ,如果你在Windows中你可以使用: WinMD5Free 。

希望能帮助到你。

是的,但是Ubuntu似乎让它变得更难。

在最好的情况下,您只需下载foo.iso和foo.iso.sig,然后在导入密钥一次后单击.sig文件(或在.sig文件的shell上使用gpg)。 这花费了几秒钟。

Ubuntu似乎通过强制你从文件中检查sha256总和而只是文件本身被签名来使它变得更加复杂。 这对他们来说很方便,但对他们的用户来说更多的工作。

另一方面,当文件仅由sha256sum * >SHA256SUMS生成时,您可以使用sha256 -c进行检查,并将OK/Bad/Not-Found作为输出。

检查/proc/net/dev并查看到目前为止收到的TCP帧数。 如果您看到一位数的值(希望为零),请继续阅读。 如果您有很多或网络错误,那么一定要使用MD5来validation您的下载(虽然我宁愿调查根本原因,因为不可靠的网络意味着您不能信任通过HTTP接收的任何内容)。

当您通过TCP下载校验和所有传输的数据时,很少有机会以完全相同的大小进行损坏的下载。 如果您确信从官方网站下载(通常是使用HTTPS并且证书检查通过),validation下载完成通常就足够了。 体面的网络浏览器通常会为你做检查,如果他们没有得到他们期望的数据量,就会说“下载失败”,尽管我已经看到浏览器决定保留不完整的文件而不说任何东西对于用户,在这种情况下,您可以手动检查文件大小。

当然,validation校验和仍然有其价值,在您下载的文件在服务器上损坏的情况下覆盖您,但这种情况不会经常发生。 尽管如此,如果您打算将下载用于重要的事情,那么这是值得采取的步骤。

正如@sudodus在评论中所说,使用Bittorrent而不是HTTPS是另一种选择,因为在处理不完整/损坏的数据时,torrent客户端会像Web浏览器那样做得更好。

请注意,校验和并不能真正阻止您受到攻击,这就是HTTPS的用途。

我发现了不检查求和的艰难方法。 我会刻录一张在下载过程中损坏的ISO,并且无法启动或运行时出错。

像其他人说的那样,只需要很少的时间。

你只用一个用例就可以看到它,在大规模自动化的设置中,它有助于validation它; 在继续我们需要处理图像之前,运行检查的脚本

其他人已经给出了我忘记的技术细节的答案,虽然我是一名程序员(我的工作不涉及网络上的沟通),所以我只是想让你知道个人经历。

很久以前,当我经常刻录CD时,我曾经碰巧下载了这个似乎已正确下载的linux发行版ISO。 CD失败了,所以我检查了下载的文件并且它不匹配。 所以,我再次下载,它的工作原理。 所以,这只发生在15年以来,因为我是一名先进的计算机用户和编程(自11岁,19年前以来一直使用计算机,我已经烧掉了超过一千张光盘)。 但它certificate它可能发生。

它也通过BitTorrent发生过一次或两次,所以这也不是故障安全的。 当强制重新检查下载的文件时,它识别出损坏的文件。

我的结论是HTTP(依赖TCP)可能是安全的,但互联网意味着你的设备和服务器之间有中间节点,并且没有告诉路上会发生什么(数据包甚至丢失所有时间),有时计算机无法判断数据是错误的我猜。

没有人可以回答你是否值得为此付出麻烦 – 这取决于背景,我相信你可以自己判断。 对我来说,大部分时间都不值得。 如果我要安装操作系统,我会先检查下载的图像。

注意:事实上,我只有一次或两次注意到损坏的下载并不意味着它只发生了。 也许其他时候它不会妨碍您,所以你不会注意到。

编辑:我甚至有其他更有经验的程序员在工作中争论(甚至有些愤慨),这些数据完整性validation哈希使得有可能知道文件是否与原始文件有点相同,但我知道(我已阅读)两个文件产生相同哈希的事实并不意味着它们是相同的 – 它只是意味着它们不太可能是不同的。 它们有用的方式是,当文件不相同时,特别是当它们非常不同时,它们产生的哈希码实际上永远不会相同(这种测试失败的可能性更小)。 换言之 – 如果哈希码不同,您就知道文件是不同的。