공식 웹 사이트에서 다운로드 한 ISO를 확인하는 것이 가치가 있습니까?

기본 "Ubuntu Desktop"옵션을 선택하여 https://www.ubuntu.com/download 에서 ISO를 다운로드했습니다 .

이 웹 사이트는 https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu 페이지를 링크하여 우분투를 확인하는 방법에 대한 지침을 제공합니다.

이것은 꽤 지루한 것처럼 보이며 공식 웹 사이트에서 다운로드 한 ISO에 문제가 있다는 것이 얼마나 현실적인지 궁금합니다. 검증 과정 자체에 새로운 소프트웨어를 다운로드해야하므로 다른 공격 벡터를 닫을 때에도 다른 공격 벡터를 도입해야합니다.

그만한 가치가 있기 때문에 Live USB 만 사용하고 Ubuntu를 완전히 설치하지 않을 계획입니다. 차이가 있습니까?

그렇습니다.

다운로드 한 ISO를 md5sum / etc까지 몇 초 밖에 걸리지 않으며 MITM 등의 공격을받지 않았 음을 확신 할 수 있습니다. 그 외에도 몇 초 동안 오류가 발생하고 디버깅이 필요한 경우 시간 (초) 동안 보험에 가입 할 수 있습니다. 다운로드로 인해 아무도 오지 않는 오류를 쫓고 있습니다 (예 : 네트워크 문제가 있고 디버깅하려고 시도하지만 몇 가지 잘못된 점이 있기 때문에 네트워킹이 채워져 있습니다 ...) 체크섬 검사는 매우 저렴한 보험이라고 생각하십시오.

무언가를 md5sum하는 데 필요한 소프트웨어는 일반적으로 다른 소스 (이전 버전, 경우에 따라 다른 os / distro)에서 제공되며 매우 작으며 이미 많은 사람들에게 존재합니다.

또한 로컬 미러에서 다운로드 할 수 있지만 Canonical 소스에서 md5sum을 가져 오기 때문에 나는 거울이 그것을 가지고 놀지 않았다고 보험에 들었다. 다시 ~ 3 초의 시간이 소요되는 매우 저렴한 보험.

네,이되어 매우 권장 당신이 다운로드 한 이미지를 확인하는 것이, 여기에 몇 가지 이유가 있습니다 :

• 몇 초만 걸리면 파일의 무결성이 올바른지 알 수 있습니다. 즉, 파일이 손상되지 않았습니다. (부패의 일반적인 원인은 @sudodus 의견의 비정상적인 인터넷 연결과 같은 기술적 이유로 인해 전송 오류입니다.)
• 파일이 손상되어이 ISO 이미지를 CD / USB 드라이브에 굽고 작동하지 않거나 설치 중에 실패하면 시간과 CD가 낭비됩니다.
• 당신은 당신이 ISO 이미지 또는 소프트웨어와하지 (아마도 공격자에 의해) 수정 된 버전의 모든 종류의 공식 CLEAN 버전을 사용하고 있는지 있으며,이 보고서를 참조하십시오 시계 개 해적은 괴혈병 비트 코인 마이닝 악성 코드 공격

이미 GNU Linux 배포판을 가지고 있다면 md5sum 을 사용할 수 있으며 Windows에 있다면 WinMD5Free를 사용할 수 있습니다 .

도움이 되길 바랍니다.

예, 그러나 우분투는 그것을보다 어렵게 만드는 것 같습니다.

가장 좋은 방법은 키를 한 번 가져온 후 foo.iso 및 foo.iso.sig를 다운로드하고 .sig 파일을 클릭하거나 .sig 파일의 쉘에서 gpg를 사용하는 것입니다. 몇 초가 소요됩니다.

Ubuntu는 파일 자체 만 서명 된 상태에서 파일에서 sha256 합계를 확인하도록하여 더 복잡한 것으로 보입니다. 편리하지만 사용자에게는 더 많은 작업이 필요합니다.

반면 파일이로만 생성 된 경우 sha256sum * >SHA256SUMS이를 사용하여 확인하고 출력으로 sha256 -c가져올 수 OK/Bad/Not-Found있습니다.

/proc/net/dev지금까지 수신 한 잘못된 TCP 프레임 수를 확인하십시오 . 한 자릿수 값이 있으면 (제로 0) 계속 읽으십시오. 네트워크 오류가 많거나 많으면 반드시 MD5를 사용하여 다운로드를 확인하십시오. 신뢰할 수없는 네트워크는 HTTP를 통해받는 모든 것을 신뢰할 수 없기 때문에 근본 원인을 조사하고 싶습니다.

전송 된 모든 데이터를 체크섬하는 TCP를 통해 다운로드 할 때 정확히 같은 크기로 손상된 다운로드가 발생할 가능성은 거의 없습니다. 공식 사이트에서 다운로드하고 있다고 확신하는 경우 (일반적으로 HTTPS를 사용하고 있고 인증서 확인을 통과 한 경우) 다운로드가 정상적으로 완료되었는지 확인하십시오. 괜찮은 웹 브라우저는 일반적으로 어쨌든 당신을 위해 검사를 수행합니다. 예상되는 양의 데이터를 얻지 못하면 "다운로드 실패"란에 무언가를 말합니다. 이 경우 파일 크기를 수동으로 확인할 수 있습니다.

물론, 체크섬을 검증하는 것은 여전히 ​​다운로드중인 파일이 서버에서 손상되었지만 너무 자주 발생하지 않는 경우를 포함하여 그 가치가 있습니다. 여전히 중요한 것을 위해 다운로드를 사용하려면 그만한 가치가 있습니다.

의견에서 @sudodus가 말했듯이 토런트 클라이언트는 웹 브라우저처럼 불완전한 / 부패한 데이터를 처리 할 때 훨씬 나은 작업을 수행하기 때문에 HTTPS 대신 Bittorrent를 사용하는 것이 또 다른 옵션입니다.

체크섬 이 실제로 공격을 막는 것은 아니며 HTTPS의 목적입니다.

합산을 확인하지 않는 것이 어려운 방법이라는 것을 알았습니다. 다운로드 중에 손상된 ISO로 CD를 굽고 부팅 할 수 없거나 실행 중에 오류가 발생했습니다.

다른 사람들이 말했듯이 시간이 거의 걸리지 않습니다.

당신은 하나의 유스 케이스로 그것을보고 있습니다. 대량 자동화로 설정하면 확인하는 데 도움이됩니다. 이미지와 관련하여 필요한 작업을 진행하기 전에 확인을 실행하는 스크립트

다른 사람들은 프로그래머이지만 잊어 버린 기술적 세부 사항에 대한 답변을주었습니다 (제 작업에는 네트워크를 통한 통신이 필요하지 않습니다). 개인 경험을 알려 드리겠습니다.

긴 내가 자주 CD를 구울 사용하는 경우 나 제대로 다운로드 한 것처럼이 리눅스 배포판 ISO을 다운로드하기에 전에, 그것은 한 번 일어났다. CD가 실패하여 다운로드 한 파일을 확인했는데 일치하지 않습니다. 그래서 다시 다운로드하여 작동했습니다. 따라서 이것은 고급 컴퓨터 사용자 및 프로그래밍 (19 년 전 11 세 이후의 컴퓨터를 사용하고 있으며 1,000 개가 넘는 디스크를 구운 적이 있음) 이후 15 년 동안 한 번만 발생했습니다. 그러나 그것이 일어날 수 있다는 증거입니다.

또한 BitTorrent를 통해 한두 번 나에게도 일어 났으므로 페일 세이프도 아닙니다. 다운로드 한 파일을 강제로 다시 검사하면 손상된 부분이 발견되었습니다.

내 결론은 HTTP (TCP에 의존)가 얻는 것만 큼 안전 할 수 있지만 인터넷은 장치와 서버 사이에 중간 노드가 있음을 의미하며 도중에 발생할 수있는 일이 없다는 것을 의미합니다 (패킷은 모두 손실됩니다) 시간), 때로는 컴퓨터가 데이터가 잘못되었다고 말할 수 없습니다.

아무도 그것이 당신에게 문제가 될만한 가치가 있는지 대답 할 수는 없습니다. 그것은 상황에 달려 있으며 당신이 스스로 판단 할 수 있다고 확신합니다. 나에게는 그다지 가치가 없다. 그래도 OS를 설치하려고한다면 다운로드 한 이미지를 미리 확인해야합니다.

참고 : 내가 한 번 또는 두 번만 손상된 다운로드를 발견했다는 것이 그 당시에 만 발생했다는 것을 의미하지는 않습니다. 어쩌면 다른 경우에는 방해가되지 않으므로 눈치 채지 못할 수도 있습니다.

편집 : 나는 경험이 많은 다른 프로그래머들 조차도이 데이터 무결성 검증 해시로 인해 파일이 원본과 약간 동일 하다는 것을 알 수 있다고 주장하지만 (심지어 약간의 분노조차도) 두 파일이 동일한 해시를 생성한다는 사실이 동일하다는 것을 의미하지는 않습니다. 단지 파일이 매우 다를 가능성이 거의 없음을 의미합니다. 그것들이 유용한 방법은 파일이 동일하지 않을 때, 특히 매우 다른 경우 결과 해시 코드가 실제로 동일하지 않을 것입니다 (이 테스트가 실패 할 가능성은 훨씬 낮습니다). 간단히 말해서-해시 코드가 다르면 파일이 다르다는 것을 알고 있습니다.