La vérification des ISO téléchargées sur le site Web officiel en vaut-elle la peine?

36

J'ai téléchargé l'ISO à partir de lien , en sélectionnant l'option par défaut "Ubuntu Desktop".

Le site Web relie la page lien qui donne des instructions sur la manière de vérifier ubuntu.

Cela semble assez fastidieux, et je me demande à quel point il est réaliste d’avoir un problème avec le téléchargement d’ISO depuis le site officiel. Je note que le processus de vérification lui-même exige que je télécharge un logiciel nouveau pour moi, introduisant ainsi un autre vecteur d’attaque sur moi même si je ferme un autre.

Pour ce que cela vaut, je prévois d'utiliser Live USB uniquement et de ne pas installer complètement Ubuntu. Est-ce que cela fait une différence?

    
posée user1205901 08.01.2018 - 03:31
la source

7 réponses

57

Oui, cela en vaut la peine.

Cela ne prend que quelques secondes à md5sum / etc une ISO téléchargée, et cela rassure que vous n’avez pas été attaqué par MITM etc. Au-delà, ces secondes sont une assurance pour les [heures] de perte de temps et le débogage des erreurs de poursuite nécessaires que personne d'autre n'obtient à cause de votre téléchargement (par exemple, vous avez des problèmes de réseau et essayez donc de déboguer, mais le réseautage est bourré parce que ce sont les rares bits ...) assurance très bon marché.

Le logiciel nécessaire pour md5sum quelque chose qui proviendra d’une autre source (une ancienne version, même différente de os / distro occasionnellement), est très petite et est déjà présente pour beaucoup / la plupart d’entre nous.

De plus, cela me permet de télécharger depuis un miroir local, mais parce que je récupère le md5sum de la source Canonical; J'ai l'assurance que le miroir n'a pas joué avec. Encore une assurance très bon marché qui me coûte 3 secondes de temps.

    
réponse donnée guiverc 08.01.2018 - 03:40
la source
21

Oui, il est TRÈS RECOMMANDÉ de vérifier l’image que vous avez téléchargée, voici quelques raisons:

  • Ne prend que quelques secondes et peut vous dire si l’intégrité du fichier est correcte, le fichier n’est pas corrompu. (Une cause fréquente de corruption est une erreur de transfert pour des raisons techniques telles que la connexion Internet instable de @sudodus comment.)
  • Si le fichier est corrompu et que vous gravez cette image ISO sur un lecteur de CD / USB et que cela ne fonctionnera pas ou que l’installation risque d’échouer, cela entraîne une perte de temps et de CD.
  • Vous êtes sûr d’utiliser la version officielle CLEAN de tout type d’image ou de logiciel ISO et non une version modifiée (peut-être par des attaquants), voir ce rapport: Regarder les pirates de chiens frappés par le scorbut malware Bitcoin-exploitation

Si vous avez déjà une distribution GNU Linux, vous pouvez utiliser md5sum , si vous êtes sous Windows, vous pouvez utiliser: WinMD5Free .

J'espère que ça aide.

    
réponse donnée galoget 08.01.2018 - 04:52
la source
2

Oui, mais Ubuntu semble rendre cela plus difficile que prévu.

Dans le meilleur des cas, téléchargez simplement foo.iso et foo.iso.sig et cliquez sur le fichier .sig (ou utilisez gpg sur le shell dans le fichier .sig) après avoir importé la clé une fois. Cela coûte quelques secondes.

Ubuntu semble vous compliquer la tâche en vous obligeant à vérifier les sommes sha256 d’un fichier alors que seul le fichier lui-même est signé. C'est pratique pour eux, mais plus de travail pour leurs utilisateurs.

D'autre part, lorsque le fichier a été généré uniquement par sha256sum * >SHA256SUMS , vous pouvez le vérifier en utilisant sha256 -c et obtenir OK/Bad/Not-Found en sortie.

    
réponse donnée allo 09.01.2018 - 17:01
la source
2

Vérifiez votre /proc/net/dev et voyez combien de trames TCP incorrectes vous avez reçues jusqu'à présent. Si vous voyez une valeur à un seul chiffre (espérons un zéro), lisez la suite. Si vous avez beaucoup d'erreurs de réseau, utilisez bien MD5 pour vérifier vos téléchargements (bien que je préfère étudier la cause principale, car un réseau peu fiable signifie que vous ne pouvez pas faire confiance à tout ce que vous recevez via HTTP).

Lorsque vous téléchargez via TCP, les sommes de contrôle transmettant toutes les données, il y a très peu de chances d'avoir un téléchargement corrompu avec exactement la même taille. Si vous êtes certain de télécharger depuis le site officiel (normalement, si vous utilisez HTTPS et que la vérification des certificats réussit), il suffit normalement de vérifier que votre téléchargement est complet. Les navigateurs Web décents effectuent généralement la vérification pour vous de toute façon, en disant quelque chose comme "échec du téléchargement" s'ils n'obtiennent pas la quantité de données attendue, bien que j'ai vu des navigateurs qui décident de conserver le fichier incomplet sans rien dire à l'utilisateur, auquel cas vous pouvez vérifier la taille du fichier manuellement.

Bien sûr, la vérification d'une somme de contrôle a toujours sa valeur, elle vous couvre dans les cas où le fichier que vous téléchargez est corrompu sur le serveur, mais cela ne se produit pas trop souvent. Cependant, si vous allez utiliser votre téléchargement pour quelque chose d’important, cela en vaut la peine.

Comme l’a dit @sudodus dans les commentaires, l’utilisation de Bittorrent au lieu de HTTPS est une autre option, car les clients torrent font un bien meilleur travail quand ils traitent des données incomplètes / corrompues que les navigateurs Web.

Notez que les sommes de contrôle n'empêche pas vraiment vous d'être attaqué, c'est ce qu'est le HTTPS.

    
réponse donnée Dmitry Grigoryev 08.01.2018 - 11:21
la source
0

J'ai découvert le moyen difficile de ne pas vérifier l'addition. Je voudrais graver un CD avec un ISO qui a été corrompu lors d'un téléchargement, et ne pouvait pas le faire démarrer ou il avait des erreurs lors de l'exécution.

Comme les autres l’ont dit, cela prend peu de temps.

    
réponse donnée fixit7 08.01.2018 - 04:43
la source
0

Vous le voyez avec un seul cas d’utilisation, dans une configuration avec automatisation de masse, il est utile de le faire vérifier; scripts qui exécutent la vérification, avant de continuer avec ce que nous devons faire avec l'image

    
réponse donnée ajax_velu 09.01.2018 - 02:38
la source
0

Les autres ont donné des réponses avec des détails techniques que j'ai oubliés bien que je sois un programmeur (mon travail n’implique pas la communication sur les réseaux), alors je vais simplement vous faire part d’une expérience personnelle.

Il y a longtemps long , lorsque j'avais l'habitude de graver des CD fréquemment, il m'est arrivé une fois d'avoir téléchargé cette ISO de distribution Linux qui semblait avoir été téléchargée correctement. Le CD m'a échoué, alors j'ai vérifié le fichier téléchargé et celui-ci ne correspondait pas. Donc, j'ai téléchargé à nouveau et cela a fonctionné. Donc, cela ne s'est produit qu'une fois tous les 15 ans depuis que je suis un utilisateur et un programmeur informatique avancé (j'utilise des ordinateurs depuis l'âge de 11 ans, 19 ans, et j'ai brûlé plus d'un millier de disques). Mais c'est la preuve que cela peut arriver.

Cela m’est arrivé aussi par BitTorrent une ou deux fois, donc ce n’est pas non plus une solution sûre. En forçant à revérifier le fichier téléchargé, il a identifié l'élément corrompu.

Ma conclusion est que le protocole HTTP (basé sur TCP) peut être aussi sûr que possible, mais Internet signifie qu'il existe des nœuds intermédiaires entre votre périphérique et le serveur, et que rien ne peut arriver (les paquets sont pairs). perdu tout le temps), et parfois les ordinateurs ne peuvent pas dire que les données sont fausses, je suppose.

Personne ne peut vous dire si cela vaudrait la peine pour vous - cela dépend du contexte et je suis sûr que vous pouvez en juger par vous-même. Pour moi, ça ne vaut pas la peine la plupart du temps. Si j'allais installer un système d'exploitation, je vérifierais l'image téléchargée auparavant.

Remarque: le fait que je n’aie remarqué qu’un téléchargement corrompu une seule fois ou deux fois ne signifie pas que ce n’est que le cas. Peut-être que d'autres fois, cela ne vous gêne pas, alors vous ne le remarquez pas.

EDIT: d’autres programmeurs plus expérimentés au travail soutiennent même (avec une certaine indignation) que ces hachages de vérification de l’intégrité des données permettent de savoir si un fichier est identique à l’original. , mais je sais (j'ai lu) que le fait que deux fichiers aboutissent au même hachage ne signifie pas qu'ils sont identiques - cela signifie simplement qu'il est extrêmement improbable qu'ils soient différents. La manière dont ils sont utiles est que lorsque les fichiers ne sont pas identiques, et surtout quand ils sont très différents, leurs codes de hachage résultants ne seront pratiquement jamais les mêmes (il est encore moins probable que ce test échoue). En moins de mots - si les codes de hachage sont différents, vous savez que les fichiers sont différents.

    
réponse donnée bitoolean 08.01.2018 - 16:46
la source

Lire d'autres questions sur les étiquettes