Anda baru saja mengunduh gambar ISO dari distribusi Linux favorit Anda dari situs resmi atau situs pihak ketiga, sekarang bagaimana? Buat media yang dapat di-boot dan mulai menginstal OS? Tidak, tunggu. Sebelum mulai menggunakannya, Sangat disarankan untuk memverifikasi bahwa ISO yang diunduh di sistem lokal Anda adalah salinan persis dari ISO yang ada di mirror unduhan. Karena, situs web Linux Mint diretas beberapa tahun yang lalu dan para peretas membuat Linux Mint ISO yang dimodifikasi, dengan pintu belakang di dalamnya. Jadi, penting untuk memeriksa keaslian dan integritas image ISO Linux Anda. Jika Anda tidak tahu cara memverifikasi gambar ISO di Linux, panduan singkat ini akan membantu. Baca terus!
Verifikasi Gambar ISO Di Linux
Kami dapat memverifikasi gambar ISO menggunakan Checksum nilai-nilai. Checksum adalah urutan huruf dan angka yang digunakan untuk memeriksa kesalahan data dan memverifikasi keaslian dan integritas file yang diunduh. Ada berbagai jenis checksum, seperti SHA-0, SHA-1, SHA-2 (224, 256, 384, 512) dan MD5. Jumlah MD5 telah menjadi yang paling populer, tetapi saat ini jumlah SHA-256 banyak digunakan oleh distro Linux modern.
Kita akan menggunakan dua alat yaitu "gpg" dan "sha256" untuk memverifikasi keaslian dan integritas gambar ISO.
Unduh checksum dan tanda tangan
Untuk tujuan panduan ini, saya akan menggunakan image ISO server Ubuntu 18.04 LTS. Namun, langkah-langkah yang diberikan di bawah ini juga dapat diterapkan pada distribusi Linux lainnya.
Di dekat bagian atas halaman unduhan Ubuntu, Anda akan melihat beberapa file tambahan (checksum dan tanda tangan) seperti yang ditunjukkan pada gambar berikut.
Ubuntu 18.04 checksum dan tanda tangan
Di sini, SHA256SUMS file berisi checksum untuk semua gambar yang tersedia dan SHA256SUMS.gpg file adalah tanda tangan GnuPG untuk file itu. Kami menggunakan file tanda tangan ini untuk memverifikasi file checksum di langkah selanjutnya.
Unduh gambar ISO Ubuntu dan kedua file ini dan letakkan semuanya di direktori, misalnya ISO .
$ ls ISO/ SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso
Seperti yang Anda lihat pada output di atas, saya telah mengunduh image server Ubuntu 18.04.2 LTS bersama dengan nilai checksum dan tanda tangan.
Unduh kunci tanda tangan yang valid
Sekarang, unduh kunci tanda tangan yang benar menggunakan perintah:
$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
Contoh keluaran:
gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 2 gpg: imported: 2
Verifikasi checksum SHA-256
Selanjutnya verifikasi file checksum menggunakan tanda tangan dengan perintah:
$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
Contoh keluaran:
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using DSA key 46181433FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
Jika Anda melihat "Tanda tangan yang baik" di output, file checksum dibuat oleh pengembang Ubuntu dan ditandatangani oleh pemilik file kunci.
Periksa file ISO yang diunduh
Selanjutnya, mari kita lanjutkan dan periksa apakah file ISO yang diunduh cocok dengan checksum. Untuk melakukannya, cukup jalankan:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK ubuntu-18.04.2-live-server-amd64.iso: OK
Jika nilai checksum cocok, Anda akan melihat "OK" pesan. Artinya - file yang diunduh adalah sah dan tidak diubah atau dirusak.
Jika Anda tidak mendapatkan output apa pun atau berbeda dari output di atas, file ISO telah dimodifikasi atau salah diunduh. Anda harus mengunduh ulang file dari sumber yang baik.
Beberapa distribusi Linux telah menyertakan nilai checksum di halaman unduhan itu sendiri. Misalnya, Pop!_os pengembang telah memberikan nilai checksum SHA-256 untuk semua gambar ISO di halaman unduhan itu sendiri, sehingga Anda dapat memverifikasi gambar ISO dengan cepat.
Pop os nilai jumlah SHA256 di halaman unduhan
Setelah mengunduh gambar ISO, verifikasi menggunakan perintah:
$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Contoh keluaran:
680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
Pop os nilai jumlah SHA256
Di sini, string acak dimulai dengan "680elaa..." adalah nilai checksum SHA-256. Bandingkan nilai ini dengan nilai penjumlahan SHA-256 yang disediakan di halaman unduhan. Jika kedua nilai sama, Anda siap melakukannya! File ISO yang diunduh adalah sah dan tidak berubah atau dimodifikasi dari status aslinya.
Ini adalah bagaimana kami dapat memverifikasi keaslian dan integritas file ISO di Linux. Baik Anda mengunduh ISO dari sumber resmi atau pihak ketiga, selalu disarankan untuk melakukan verifikasi cepat sebelum menggunakannya. Semoga bermanfaat.
Referensi:
- https://tutorials.ubuntu.com/tutorial/tutorial-how-to-verify-ubuntu