2 votos

Hay una manera para un usuario casual verificar la autenticidad de un Ubuntu descargado. ¿ISO?

Estoy bastante sorprendido de que un tema de esta grande, tiene tan poco de conversación a su alrededor.

Soy un casual los usuarios de Ubuntu, y acabo de descargar la ISO de ubuntu.com.
No tengo un PGP web de confianza instalada en mi equipo ni nada.
Así que la única cosa que realmente puede confiar es mi navegador CA de la lista.

Cómo se podría ir sobre la comprobación de que yo no estoy MITM d y rootkit-nivel batido por una de 16 años.o.? (Porque realmente es que fácil)

1. Sólo tienes que comprobar el SHA256SUM

Bueno, por desgracia http://releases.ubuntu.com/ solo se sirven a través de HTTP.
De hecho hay una "no tiene arreglo" cerrado informe de error a partir de 2013, donde los mantenedores de denegar explícitamente molestando con proporcionar a los usuarios una versión HTTPS de la lista hash.

2. Sólo tienes que descargar Ubuntu claves públicas con GPG

Como se mencionó en el VerifyIsoHowTo página, la otra manera de verificar que la descarga es descargar Ubuntu clave pública y verificar la .gpg hash de los archivos.
Sin embargo, en letra pequeña, cerca de la parte inferior se menciona algo acerca de la creación de una web de confianza. Si queremos ampliar en eso, creo que con seguridad se puede afirmar que la comprobación de las firmas PGP sin una buena web de confianza en su lugar es completamente inútil.


Entonces, ¿qué queda? Literalmente, nada. Por supuesto, usted puede gastar una gran cantidad de tiempo tratando de entender PGP, ponerse en contacto con colegas y la construcción de su propia web de confianza a lo largo de las siguientes semanas, o puede simplemente saltar todo eso y acaba finalmente con la instalación, que es lo que la aplastante mayoría de la gente va a hacer, si ni siquiera se molestaron llegar a ese extremo.

Así que, ¿hay una manera práctica para el casual/usuario intermedio para comprobar la integridad de software de Ubuntu antes de la instalación, o estamos perdiendo miles y miles de horas-hombre para escribir código seguro sólo para servir es inseguro?


2voto

janmyszkier Puntos 176

Hay un paso a paso del tutorial: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#0

si usted no sabe cómo funciona, entonces la única manera, si usted tiene la intención de utilizar - se para de aprender.

No hay un "simple" manera para esto, porque esto no es sencillo de cómo funciona esto y cómo se proporciona resultados correctos (a menos que seas bueno con los algoritmos). Lo siento.

No hay ninguna oficial iso mdsums organización que realiza un seguimiento de todas las imágenes por ahí así que no hay forma oficial de hacerlo. Sin embargo, puede utilizar las herramientas y compararlo con lo que Ubuntu comparte con usted en sus servidores. I. e para últimas Ubuntu http://releases.ubuntu.com/cosmic/

hay varios archivos:

  1. http://releases.ubuntu.com/cosmic/MD5SUMS
  2. http://releases.ubuntu.com/cosmic/SHA1SUMS
  3. http://releases.ubuntu.com/cosmic/SHA256SUMS

que se pueden comprobar con tanto como:

  1. md5sum ubuntu-18.10-desktop-amd64.iso
  2. sha1sum ubuntu-18.10-desktop-amd64.iso
  3. sha256sum ubuntu-18.10-desktop-amd64.iso

donde el ubuntu-18.10-desktop-amd64.iso del curso es el iso en cuestión. comparar la salida del comando con esas páginas y vas a saber si es genuino.

EDITAR: He pensado que voy a responder a todas OP preguntas porque producían algunas de las preguntas y las notas en los comentarios y las preocupaciones planteadas allí:

Hay una manera para que un usuario casual para verificar la autenticidad de un descargado Ubuntu .ISO?

no se, yo le contesté que en mi respuesta principal

Cómo se podría ir sobre la comprobación de que yo no estoy MITM d y rootkit-nivel batido por una de 16 años.o.?

la única manera sencilla sé (sin usar el navegador para descargar el certificado SSL) es para confirmar su network / dns responde con la misma IP como algunos otros DNS que no estás usando y que confía, yo.e openDNS o google: dig releases.ubuntu.com dig @208.67.222.222 releases.ubuntu.com dig @8.8.8.8 releases.ubuntu.com Todos ellos deben prestar los mismos resultados. Para rootkit, la única manera es comprobar ISO en contra de las sumas de comprobación, que ya he descrito.

Así que, ¿hay una manera práctica para el casual/usuario intermedio para comprobar la integridad de software de Ubuntu antes de la instalación, o estamos perdiendo miles y miles de horas-hombre para escribir código seguro sólo para servir es inseguro?

Esta pregunta ignora el hecho de que: - Las llaves GPG que se puede recuperar de forma segura a través de hkpsservidor de: gpg --keyid-format long --keyserver hkps://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092 - hay una nota muy importante en: https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#2 Que OP parece ignorar (aunque diciendo que leer que antes):

Note - some people question that if the site they are downloading from is not secure (many archive mirrors do not use SSL), how can they trust the signatures? The gpg fingerprint is checked against the Ubuntu keyserver, so if the signature matches, you know it is authentic no matter where/how it was downloaded! CÓMO GPG funciona bajo el capó, supera el conocimiento del usuario ocasional, pero puede confiar en que este es seguro. Si usted no confía, por favor, lea cómo GPG obras. Les puedo asegurar que fue comprobada contra ataques varias veces ;)

Lo que yo he explicado en mi edición es la autenticidad del servidor PUEDE ser verificado contra (revisar mi respuesta en dig anterior). Sin embargo, esto supera el conocimiento del usuario ocasional (pregunte a su navegación por internet a los padres acerca de MITM, usted sabrá) así Que levanté mi ceja cuando OP lleva a la mesa junto con casual user frase.

Mientras http://releases.ubuntu.com/ ES no usar HTTPS, puede verificar contra MITM con dig. Si todos los partidos, estás a salvo, porque sólo Canónico, mantiene el control sobre *.ubuntu.com los subdominios

Espero que no hay ninguna pregunta más, pero si lo son, por favor agregar nuevo askubuntu.com pregunta y sólo tiene que añadir un enlace a este hilo en ella. Estaré encantado de responder.

0voto

Warbo Puntos 171
<p>Si estás dispuesto a confiar en HTTPS para esto, las huellas de clave GPG son disponibles a través de ambos:</p> <p><a href="https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu#3" rel="nofollow noreferrer">https://tutorials.Ubuntu.com/Tutorial/tutorial-How-to-verify-Ubuntu#3</a></p> <p>y</p> <p><a href="https://wiki.ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubuntu" rel="nofollow noreferrer">https://wiki.Ubuntu.com/SecurityTeam/FAQ#GPG_Keys_used_by_Ubuntu</a></p> <p>Gracias</p>

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: