J'ai téléchargé l'ISO à partir de https://www.ubuntu.com/download , en sélectionnant l'option par défaut "Ubuntu Desktop".
Le site Web renvoie à la page https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu, qui explique comment vérifier ubuntu.
Cela semble assez fastidieux, et je me demande à quel point il est réaliste qu’il ya un problème avec l’ISO téléchargée sur le site officiel. Je remarque que le processus de vérification lui-même exige que je télécharge un logiciel qui m'est nouveau, introduisant ainsi un autre vecteur d'attaque sur moi, alors même que j'en ferme un autre.
Pour ce que cela vaut, je prévois d’utiliser Live USB uniquement et de ne pas installer complètement Ubuntu. Cela fait-il une différence?
system-installation
iso
user1205901 - Rétablir Monica
la source
la source
Réponses:
Oui ça vaut la peine.
Cela ne prend que quelques secondes à md5sum / etc une ISO téléchargée, ce qui rassure que MITM ne vous a pas attaqué, etc. Après avoir téléchargé des erreurs, personne ne se trouve à cause de votre téléchargement (par exemple, vous avez des problèmes de réseau et essayez donc de déboguer, mais la mise en réseau est bourrée parce que c’est ce que les quelques erreurs de calcul ont été ...).
Le logiciel nécessaire pour que md5sum soit en général issu d’une autre source (une version plus ancienne, même parfois différente de os / distro), est très petit et est déjà présent pour beaucoup / la plupart d’entre nous.
En outre, cela me permet de télécharger depuis un miroir local, mais parce que je récupère le md5sum depuis la source Canonical; J'ai l'assurance que le miroir n'a pas joué avec. Encore une fois, une assurance très économique qui me coûte environ 3 secondes.
la source
Oui, il est TRES RECOMMANDÉ que vous vérifiiez l'image que vous avez téléchargée, voici quelques raisons:
Si vous avez déjà une distribution GNU Linux, vous pouvez utiliser md5sum . Si vous êtes sous Windows, vous pouvez utiliser: WinMD5Free .
J'espère que ça aide.
la source
certutil
: superuser.com/a/898377/521689Oui, c'est vrai, mais Ubuntu semble rendre la tâche plus difficile qu'elle ne devrait l'être.
Dans le meilleur des cas, il vous suffirait de télécharger foo.iso et foo.iso.sig et de cliquer sur le fichier .sig (ou d'utiliser gpg sur le shell du fichier .sig) après avoir importé la clé une fois. Cela coûte quelques secondes.
Ubuntu semble compliquer les choses en vous obligeant à vérifier les sommes sha256 d'un fichier alors que seul le fichier lui-même est signé. C'est pratique pour eux, mais cela demande plus de travail à leurs utilisateurs.
Par contre, lorsque le fichier a été généré juste par
sha256sum * >SHA256SUMS
, vous pouvez le vérifiersha256 -c
et l’obtenirOK/Bad/Not-Found
en sortie.la source
Vérifiez
/proc/net/dev
et voyez combien de mauvaises trames TCP vous avez reçues jusqu'à présent. Si vous voyez une valeur à un chiffre (espérons un zéro), lisez la suite. Si vous avez beaucoup ou des erreurs réseau, utilisez certainement MD5 pour vérifier vos téléchargements (bien que je préfère en rechercher la cause, car un réseau peu fiable signifie que vous ne pouvez faire confiance à rien de ce que vous recevez via HTTP).Lorsque vous effectuez un téléchargement sur TCP qui contrôle toutes les données transmises, il y a très peu de chance qu'un téléchargement corrompu ait exactement la même taille. Si vous êtes sûr de télécharger à partir du site officiel (normalement si vous utilisez HTTPS et que la vérification du certificat réussit), il est généralement suffisant de vérifier que le téléchargement est terminé. De toute façon, de bons navigateurs Web vérifient généralement pour vous, en disant "échec du téléchargement" s'ils n'obtiennent pas la quantité de données attendue, même si j'ai déjà vu des navigateurs décider de conserver le fichier incomplet sans rien dire. à l'utilisateur, auquel cas vous pouvez vérifier la taille du fichier manuellement.
Bien sûr, la vérification d'une somme de contrôle a toujours sa valeur, car elle vous protège dans les cas où le fichier que vous téléchargez est corrompu sur le serveur, mais cela n'arrive pas trop souvent. Néanmoins, si vous utilisez votre téléchargement pour quelque chose d'important, c'est une étape qui mérite d'être franchie.
Comme @sudodus l'a dit dans les commentaires, utiliser Bittorrent au lieu de HTTPS est une autre option, car les clients torrent font un bien meilleur travail lorsqu'ils traitent des données incomplètes / corrompues comme le font les navigateurs Web.
Notez que les sommes de contrôle ne vous empêchent pas vraiment d'être attaqué, c'est à cela que sert HTTPS.
la source
J'ai découvert le moyen difficile de ne pas vérifier la somme. Je graverais un CD avec un ISO qui aurait été corrompu pendant un téléchargement et je ne pouvais pas le faire démarrer ou il y avait des erreurs lors de son exécution.
Comme le disent les autres, cela prend peu de temps.
la source
Vous le voyez avec un seul cas d'utilisation, dans une configuration avec une automatisation de masse, il est utile de le faire vérifier. scripts qui exécutent la vérification, avant de continuer avec ce que nous devons faire avec l'image
la source
Les autres ont donné des réponses avec des détails techniques que j'avais oubliés bien que je sois programmeur (mon travail n'implique pas de communication sur des réseaux), je vais donc simplement vous faire connaître une expérience personnelle.
Il y a longtemps , lorsque je gravais fréquemment des CD, il m'est déjà arrivé d'avoir téléchargé cet ISO de distribution Linux qui semblait avoir été téléchargé correctement. Le CD m'a échoué, j'ai donc vérifié le fichier téléchargé et il ne correspondait pas. Donc, j'ai téléchargé à nouveau et cela a fonctionné. Donc, cela ne s'est produit qu'une fois en 15 ans depuis que je suis un utilisateur avancé en programmation (j'utilise des ordinateurs depuis l'âge de 11 ans, il y a 19 ans et j'ai gravé plus d'un millier de disques). Mais c'est la preuve que cela peut arriver.
Cela m'est également arrivé une ou deux fois par le biais de BitTorrent, donc ce n'est pas non plus sans faille. En forçant la revérification du fichier téléchargé, il a identifié la pièce corrompue.
Ma conclusion est que HTTP (s'appuyer sur TCP) est peut-être aussi sûr qu'il peut être, mais Internet signifie qu'il y a des nœuds intermédiaires entre votre appareil et le serveur, et rien ne dit ce qui peut arriver en cours de route (des paquets sont même perdus toutes les et parfois, les ordinateurs ne peuvent pas dire que les données sont fausses, je suppose.
Personne ne peut dire si cela vaudrait la peine pour vous - cela dépend du contexte et je suis sûr que vous pouvez en juger par vous-même. Pour moi, ça ne vaut pas la plupart du temps. Si j’allais installer un système d’exploitation, je vérifierais l’image téléchargée auparavant.
Remarque: le fait que j’ai remarqué une ou deux fois seulement un téléchargement corrompu ne signifie pas qu’il ne s’est produit qu’alors. Peut-être que d'autres fois, cela ne vous gênera pas et vous ne le remarquerez pas.
EDIT: J'ai même eu des programmeurs plus expérimentés au travail qui ont argumenté (avec une certaine indignation même) que ces hachages de vérification de l'intégrité des données permettent de savoir si un fichier est identique au bit original, mais je sais (j'ai lu) que le fait que deux fichiers donnent le même hachage ne signifie pas qu'ils sont identiques, cela signifie simplement qu'il est extrêmement improbable qu'ils soient différents. Leur utilité est que lorsque les fichiers ne sont pas identiques, et en particulier quand ils sont très différents, les codes de hachage qui en résultent ne seront pratiquement jamais les mêmes (il est encore moins probable que ce test échoue). En moins de mots - si les codes de hachage sont différents, vous savez que les fichiers sont différents.
la source