Tutoriales

Cómo verificar la integridad y autenticidad de una imagen ISO de Linux

Verificar imagen ISO Este es un paso importante para garantizar la integridad y autenticidad de los archivos descargados, especialmente para las distribuciones de Linux. El proceso implica comparar el valor hash o la firma digital del ISO descargado con un valor legítimo conocido proporcionado por el sitio web oficial de la distribución. En esta guía, explicaré mediante ejemplos cómo verificar imágenes ISO en Linux.

¿Por qué es necesario verificar la integridad y autenticidad de las imágenes ISO de Linux?

Es importante verificar la integridad y autenticidad de la imagen ISO para garantizar que el archivo descargado sea una copia fiel del archivo original y no haya sido manipulado.

verificación de integridad: Esto confirma que la imagen ISO se descargó correctamente y es una copia exacta del archivo en el servidor de descarga. Los errores durante el proceso de descarga pueden hacer que el archivo se dañe, provocando problemas durante la instalación.

control de autenticidad: Esto verificará que la imagen ISO haya sido firmada por el proveedor de distribución apropiado (como Linux Mint) y no sea una copia modificada o maliciosa.

La validación de imágenes ISO protege su sistema de posibles problemas causados ​​por archivos corruptos o maliciosos.

Verificar la integridad de las imágenes ISO de Linux

1. Descarga la imagen ISO:

Primero, descargue el archivo de imagen ISO de la distribución de Linux que necesita del sitio web oficial. Para los fines de esta guía utilizaré la última openSUSE Salto ISO Descargar desde el sitio web oficial.

2. Descargue el archivo de verificación:

Además de la imagen ISO, también necesitarás descargar el archivo de suma de comprobación correspondiente (normalmente .sha256 o .md5 documento). Este archivo contiene el valor hash criptográfico de la imagen ISO.

3. Calcular la suma de verificación:

Una vez que tenga la imagen ISO y el archivo de suma de verificación, puede usar una utilidad como sha256sum o md5sum Calcule el valor hash de la imagen ISO descargada.

ejemplo:

$ sha256sum openSUSE-Leap-15.6-DVD-x86_64-Media.iso
ac1fbaf0071bdb71b8222fa1f40d6dd013e5699bb55c5636dce85beb0818985d  openSUSE-Leap-15.6-DVD-x86_64-Media.iso
Calcular la suma de comprobación del archivo ISO de Linux

4. Comparar sumas de verificación:

Compare el valor hash calculado con el valor hash proporcionado en el archivo de suma de comprobación que descargó. Si los valores coinciden, significa que la imagen ISO está intacta y no se corrompió ni modificó durante el proceso de descarga.

ejemplo:

Abra el archivo de suma de comprobación (por ejemplo, openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256)

$ cat openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256 
ac1fbaf0071bdb71b8222fa1f40d6dd013e5699bb55c5636dce85beb0818985d openSUSE-Leap-15.6-DVD-x86_64-Media.iso
Abrir el archivo de verificación
Abrir el archivo de verificación

En este caso, el valor hash calculado (ac1fbaf0071bdb71b8222fa1f40d6dd013e5699bb55c5636dce85beb0818985d) coincide con los enumerados en .sha256 El archivo muestra que la imagen ISO de openSUSE Leap 15.6 descargada es auténtica y no ha sido manipulada.

Si los valores hash no coinciden, significa que la imagen ISO está dañada o modificada y debes volver a descargarla desde una fuente oficial.

Algunas distribuciones de Linux también proporcionan firma GPG (GNU Privacy Guard) para sus imágenes ISO. En este caso puedes utilizar gpg El comando verifica la firma digital para garantizar que la imagen ISO sea publicada por un mantenedor de distribución oficial.

Utilice el comando sha256sum para comparar sumas de comprobación

Comparar sumas de comprobación manualmente puede resultar tedioso y propenso a errores, especialmente cuando se trata de valores hash largos. Afortunadamente, existe una forma más conveniente de automatizar el proceso de verificación con un solo comando.

La mayoría de las distribuciones de Linux ofrecen una opción conveniente para verificar automáticamente las imágenes ISO con un archivo de suma de verificación. Puedes hacerlo:

1. Descargue la imagen ISO y el archivo de verificación.:

Descargue la imagen ISO y el archivo de suma de comprobación correspondiente (por ejemplo, SHA256SUMS o MD5SUMS) del sitio web oficial.

2. uso -c Opción con utilidad de suma de comprobación:

este -c La opción indica la utilidad de suma de comprobación (sha256sum, md5sumetc.) lee la suma de comprobación del archivo y verifica la integridad del archivo correspondiente.

ejemplo:

$ sha256sum -c openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256
openSUSE-Leap-15.6-DVD-x86_64-Media.iso: OK
Utilice el comando sha256sum para comparar sumas de comprobación
Utilice el comando sha256sum para comparar sumas de comprobación

En este ejemplo, sha256sum Comando para leer la suma de comprobación openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256 archivos y compararlos con imágenes ISO reales (openSUSE-Leap-15.6-DVD-x86_64-Media.iso). Si las sumas de verificación coinciden, generará OKindicando que la imagen ISO es real y no ha sido manipulada.

Si las sumas de verificación no coinciden, verá el siguiente mensaje de error:

$ sha256sum -c openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256
openSUSE-Leap-15.6-DVD-x86_64-Media.iso: FAILED
sha256sum: WARNING: 1 computed checksum did NOT match

Aquí hay otro ejemplo.

El equipo de Linux Mint proporciona sha256sum.txt archivo junto con el archivo ISO. Puede verificar la autenticidad del archivo ISO usando el siguiente comando: sha256sum.txt Los archivos son los siguientes:

$ sha256sum -c sha256sum.txt 
linuxmint-22-cinnamon-64bit-beta.iso: OK

Este comando compara la suma de verificación SHA-256 con el valor especificado en el archivo ISO. sha256sum.txt documento.

Si las sumas de verificación coinciden, «DE ACUERDO«. Esto significa que el archivo ISO es auténtico y no ha sido manipulado.

Este enfoque automatizado elimina la necesidad de realizar comparaciones manuales de sumas de verificación y reduce la posibilidad de error humano.

Algunos puntos para recordar:

  • Al ejecutar las instrucciones, asegúrese de estar en el mismo directorio que la imagen ISO y el archivo de suma de verificación.
  • Los archivos de suma de comprobación deben tener la convención de nomenclatura correcta (p. ej., SHA256SUMS Para la suma de comprobación SHA-256, MD5SUMS suma de comprobación MD5).
  • Si las sumas de verificación no coinciden, debes volver a descargar la imagen ISO de fuentes oficiales.

mediante el uso -c Utilidad de opción y suma de verificación, puede verificar de manera fácil y confiable la integridad de las imágenes ISO descargadas, garantizando un proceso de instalación seguro y confiable.

Verifique la autenticidad del archivo sha256sum.txt

Como ya dije, sha256sum.txt El archivo contiene sumas de verificación utilizadas para verificar la integridad de la imagen ISO de Linux. Si el archivo es manipulado, un atacante puede distribuir una imagen ISO modificada que parece legítima pero que en realidad contiene código malicioso.

Al verificar la autenticidad de la información. sha256sum.txt archivo, puede estar seguro de que las sumas de verificación que contiene son auténticas y no han sido alteradas. Esto le da la confianza de que la imagen ISO que está descargando es realmente publicada por el equipo oficial y no ha sido manipulada.

Para verificar su autenticidad sha256sum.txtnecesitas verificar la firma sha256sum.txt.gpg. Este proceso asegura sha256sum.txt El archivo contiene una suma de verificación que verifica la integridad de la imagen ISO y que no ha sido manipulada.

Para los propósitos de esta guía usaré La última ISO de Linux Mint 22.

1. Importe la clave de firma de Linux Mint:

Primero debe importar la clave de firma de Linux Mint a su sistema. Esto se puede lograr usando el siguiente comando:

gpg --keyserver hkp://keys.openpgp.org:80 --recv-key 27DEB15644C6B3CF3BD7D291300F846BA25BAE09

Luego puede verificar que la clave se importó correctamente usando el siguiente comando:

gpg --list-key --with-fingerprint A25BAE09

La salida debe contener 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09.

2. Verificar la autenticidad sha256sum.txt:

Después de importar la clave, puede verificar la autenticidad de la clave. sha256sum.txt Cree el archivo usando el siguiente comando:

gpg --verify sha256sum.txt.gpg sha256sum.txt

El resultado debe confirmar que la firma del archivo es «buena» y está firmada con la clave correcta (27DEB15644C6B3CF3BD7D291300F846BA25BAE09).

Es posible que reciba una advertencia indicando que su computadora no confía en las firmas de Linux Mint. Esto es normal y esperado.

Verificar la imagen ISO usando Linux Mint

Si está utilizando Linux Mint, tiene una herramienta incorporada para validar imágenes ISO. Haga clic derecho en la imagen ISO y seleccione «Verificar» para acceder a la herramienta.

Verificar la imagen ISO usando Linux Mint
Verificar la imagen ISO usando Linux Mint

Alternativamente, la herramienta de línea de comando mint-iso-verify Se puede utilizar con archivos ISO. Por ejemplo, para verificar un archivo ISO llamado «linux-mint.iso», puede usar el siguiente comando:

mint-iso-verify linux-mint.iso

en conclusión

Validar imágenes ISO es importante para mantener la integridad y seguridad de la distribución de Linux que está instalando. El enfoque recomendado es Siempre verifique la suma de verificación o firma digital antes de continuar con la instalación.

LEER  Cómo instalar GPG (gnupg2) en Debian Linux para corregir el error de comando gpg no encontrado

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba