Изпечатай

[lipa]

Виждам, че някой дистрибутиви  дистрибутиви в официалните сайтове се предлагат да бъдат изтеглени като торенти  Това не е ли опасно? Например сайта  https://xubuntu.org/ дава такава възможност.

[Acho]

Кое да му е опасното ?

[lipa]

Кое да му е опасното ?

Изтегляйки файла ти почваш да го шерваш на другите да го теглят. Намирайки се на твоят компютар може да има вратички за изменяне на кода и шерването му ... Това ми е логиката, макар че осъзнавам, че едва ли толкова просто може да се манипулира торента.

[makeme]

Кое да му е опасното ?

Изтегляйки файла ти почваш да го шерваш на другите да го теглят. Намирайки се на твоят компютар може да има вратички за изменяне на кода и шерването му ... Това ми е логиката, макар че осъзнавам, че едва ли толкова просто може да се манипулира торента.

Не е толкова просто. Ти не шерваш самия файл, а събираш и споделяш парчета. Съответно, когато файла се сглобява се прави хашчек на сумата (не съм сигурен дали е задължително). Отделно имаш принципа на криптовалутите: Много пиъри верифицират едни и същи парчета. Ако парчетата са различни, то не могат да бъдат споделени.

пп: Принципно, от където и да сваляш, посредством с каквато и технология да сваляш, резултата (сваления файл) трябва да отговаря на чексумите. Виж тези файлчета, които пише *sums:
http://ubuntu.ipacct.com/xubuntu/16.04/release/

[stealth01]

Не може да се подменя съдържание при торента. Ако самият .torrent файл е свален от официалният сайт (още повече, ако и тракерът се поддържа от тях), то шансът за проблеми е почти нулев. Има си проверки за цялост, така че няма вероятност да се счупи нещо при свалянето. При намерена грешка, лошото парче ще се свали отново.

[jet]

Сваляй от където си искаш, но накрая провери чексумата дали съвпада с оригиналната от сайта на дистрибуцията. Ако съвпада инсталирай смело.

[Naka]

За тебе това е много опасно!

[spec1a]

   Ето и малко по-конкретен отговор: когато целия файл е "събран",
можеш да провериш контролната сума с командата: openssl
   Разгледай опциите й.

[jet]

   Ето и малко по-конкретен отговор: когато целия файл е "събран",
можеш да провериш контролната сума с командата: openssl
   Разгледай опциите й.

Това ще ти помогне ад разбереш дали файла е събран коректно, но не и дали е модифициран.
ползвай shasum или md5sum

[spec1a]

   Eто и конкретно командите (проверява съотв. хеш стойности):
openssl md5 file
openssl sha1 file
   ... и така нататък.
   Горния пост на jet си беше леко заяждане ...

[4096bits]

По принцип md5 отдавна не е гаранция, че файлът не е променян. SHA1 също е счупен от доста време. Не зная, защо продължават да ги ползват и двата все още и то навсякъде.

[makeme]

По принцип md5 отдавна не е гаранция, че файлът не е променян. SHA1 също е счупен от доста време. Не зная, защо продължават да ги ползват и двата все още и то навсякъде.

Защото се спекулира малко с това "не е гаранция". Всъщност това да промениш няколко блока, че да ти излезе същата сума не е лесна работа (пък и файла да работи после ). Следователно, може да се каже че имаш над 90% гаранция. Вече ти си избираш дали ти стигат.

Относно най-лесния описан начин начин:
Както вече казах при твоята дистрибуция има файлче, което се казва примерно "SHA256SUMS"

Съответно го пишеш като команда (най-интуитивно е) и сравняваш хеша написан във файлчето.

Код:

$ sha256sum xubuntu-16.04-desktop-amd64.iso 
64c7acf836cfceafabb5adfcb2e4bc67fbf9b4a21b1d10149417b796028c871c  xubuntu-16.04-desktop-amd64.iso

Което отговаря на записаното във файла

64c7acf836cfceafabb5adfcb2e4bc67fbf9b4a21b1d10149417b796028c871c *xubuntu-16.04-desktop-amd64.iso

http://ubuntu.ipacct.com/xubuntu/16.04/release/SHA256SUMS

Съответно по същия начин и за MD5SUMS и SHA1SUMS.

[Naka]

простата команда е
sha1sum -c SHA1SUMS
( sha256sum -c SHA256SUMS )

(-c означава compare) като SHA1SUMS е обикновен текстов файл в който са записани сумите на всички файлове и си го сваляш от официалният сайт.
http://ubuntu.ipacct.com/xubuntu/16.04/release/
http://ubuntu.ipacct.com/xubuntu/16.04/release/SHA1SUMS

след това като искаш си сваляй *.iso -тата от торента.

Така с един куршум два заека. Хем ще си сигурен, че файла който си свалил от торента е 100% същият като от официалният сайт, Хем ще си сигурен че е прехвърлен правилно и твоят компютър или някой сървер (или мрежата) не са развалили файла междувремненно поради грешащи компютри.

Ама като ти се каза самият торен протокол си има чексуми и грешки по мрежата са невъзможни.

[sudo]

По принцип md5 отдавна не е гаранция, че файлът не е променян. SHA1 също е счупен от доста време. Не зная, защо продължават да ги ползват и двата все още и то навсякъде.

md5 и SHA1 са два бързи hash алгоритъма с които можеш например ако имаш папка с няколко(стотин) GB архиви да си направиш бърза проверка дали нямаш "счупен" файл от FS (примерно след някакъв crash). Ако разбира се преди това си направил md5sum на архива който слагаш.

[4096bits]

Благодаря за инфото, но съм наясно. Бях си правил преди време скриптче за откриване на повтарящи са файлове.