Sådan verificerer du integriteten af ​​ISO-billeder i macOS

Hvis du normalt downloader operativsystemer eller værktøjer fra ISO -format at bruge dem på din Mac, verificere integriteten af ​​disse billeder Det er ikke en indfald: det er praktisk talt obligatorisk, hvis du vil undgå ødelagte installationer, mærkelige fejl eller endnu værre, sikkerhedsproblemer. macOS tilbyder flere måder at sikre, at ISO-filen, selve opstartsprocessen og firmwaren alle er i god stand.

Gennem hele denne guide vil vi se, i detaljer og uden for meget fladtryk, Sådan verificerer du, at et ISO-billede ikke er beskadiget på macOSHvilken rolle spiller checksums (MD5, SHA1, SHA256)? Hvad gør macOS "bag kulisserne" med recoveryOS og firmware? Hvordan kontrollerer Apple integriteten af ​​sit eget system og diagnosticering? Og hvordan passer tredjepartsværktøjer som balenaEtcher eller Ventoy ind i dette puslespil?

Hvorfor er det så vigtigt at verificere et ISO-billede i macOS?

Når du downloader en ISO for at installere et system (f.eks. Manjaro, Debian, Ubuntu eller endda gendannelsesværktøjer), stoler du på, at Filen er blevet downloadet fuldstændigt og uden ændringerEn enkelt bitændring kan forårsage alt fra installationsfejl til et ustabilt system, der begynder at fungere forkert efter et par dage.

Ud over utilsigtet beskadigelse under download er der risiko for, at nogen har ændret ISO-billedet Hvis du downloader det fra et uofficielt websted, eller hvis din forbindelse bliver aflyttet, kan du ubevidst ende med at installere et system med malware eller bagdøre.

Som om det ikke var nok, når du først har "brændt" den ISO over på et USB-drev eller en ekstern harddisk, kommer en anden faktor i spil: integriteten af ​​de data, der er skrevet på selve lagringsmedietBillige USB-drev, afbrydelser under kopiering eller endda dårlige sektorer kan forårsage, at det optagede indhold ikke stemmer overens med originalen.

Og som en sidste bemærkning, i moderne Mac-computere skal du også overveje Firmwareintegritet og gendannelsesmiljøer (RecoveryOS og Apple Diagnostics), som danner grundlaget for, at dit system kan starte pålideligt og sikkert. Apple har bygget et ret sofistikeret system til dette, og forståelsen af ​​det hjælper dig med at få et komplet billede af, hvordan integriteten er beskyttet i macOS.

Sådan fungerer checksums (MD5, SHA1, SHA256) og .sum-filer

Det klassiske værktøj til at kontrollere, om en ISO-fil er downloadet korrekt, er at bruge en kryptografisk checksumDet vil sige en kode genereret ud fra filens indhold ved hjælp af en algoritme som MD5, SHA1 eller SHA256. Hvis indholdet ændres, ændres koden også.

I mange Linux-distributioner og systemer, der distribueres i ISO, udgiver leverandøren en sumfil ved siden af ​​billedet. Det følger normalt samme navn som ISO'en, men med en anden endelse. For eksempel for en fil som manjaro-xfce-0.8.1-x86_64.isoDet er normalt at finde filer som:

• manjaro-xfce-0.8.1-x86_64-sha1.sum
• manjaro-xfce-0.8.1-x86_64-sha256.sum

"Sha"-delen af ​​navnet refererer til Sikker Hash-algoritmeSHA1 og SHA256 er to variationer af det samme koncept: de genererer en unik kode for det pågældende indhold; hvis ISO-standarden ændres, matcher den kode ikke længere. SHA256 er mere moderne og robust end SHA1, så hvis din udbyder tilbyder muligheden, Det er at foretrække, at du bruger SHA256 for dine checks.

Disse filer .sum-filer er intet andet end simple tekstfiler der indeholder den forventede hashværdi og filnavnet, der tilknytter begge dele, på én linje. Når du beregner ISO-hashen på din Mac og sammenligner den med den værdi, der er offentliggjort af udvikleren (enten i en fil .sha256.sum eller direkte på deres hjemmeside), tjekker du, om den fil, du downloadede, præcist matcher den, der er genereret af udbyderen.

Ideen kan sammenlignes med en hemmelig adgangskode: Hvis den "adgangskode" (hashen), der genereres på din Mac, ikke stemmer overens med den, der er offentliggjort på den officielle hjemmesideDette er et tegn på, at ISO-filen er blevet beskadiget eller ændret, og i så fald er det bedst ikke at bruge den og downloade den igen.

Bekræft integriteten af ​​en ISO i macOS ved hjælp af Terminal

På macOS behøver du ikke at installere noget for at beregne ISO-filhashes (i modsætning til Windows), fordi systemet allerede indeholder kommandolinjeværktøjer til MD5, SHA1 og SHA256Brug blot Terminal og kør den relevante kommando.

Det første trin er at navigere til den mappe, hvor dit ISO-billede er placeret. Hvis det for eksempel er i din Downloads-mappe, kan du gøre noget i retning af dette:

cd ~/Descargas

Når du er i den rigtige mappe, kan du generere checksummen med disse kommandoer, afhængigt af den algoritme, du vil bruge. Hvis du ønsker en SHA256-hash, hvilket er den mest anbefalede:

shasum -a 256 nombre-de-tu-imagen.iso

Kommandoen shasum -a 256 Den beregner en SHA256-hash af filen og returnerer en lang streng af tal og bogstaver efterfulgt af filnavnet. Du skal sammenligne strengen med den værdi, der er offentliggjort af udvikleren (enten i en fil eller noget andet). .sha256.sum eller direkte på deres hjemmeside).

Hvis udbyderen kun tilbyder dig en SHA1-kontrolsum, kan du bruge:

shasum -a 1 nombre-de-tu-imagen.iso

Og hvis alt du har er en MD5 hash-værdi, inkluderer macOS også en specifik kommando til det, så du kan køre:

md5 nombre-de-tu-imagen.iso

Når de værdier, der genereres af disse kommandoer, matcher de publicerede, kan du antage, at ISO-filen er intakt og klar til brugHvis de ikke stemmer overens, skal du slette filen og downloade den igen, helst ved at kontrollere din forbindelse eller lede efter et alternativt filspejl.

Hvad skal man gøre, når ISO-filen ikke indeholder en checksumfil

Mange Linux-distributioner og gendannelsessystemer inkluderer filer som f.eks. md5sum.txt, sha1sum eller sha256sum i selve ISO-filen eller ved siden af ​​den på downloadsiden. Det er dog ikke alle projekter, der gør dette; nogle gange offentliggør de kun hashen på en webside, eller slet ikke det.

Hvis ISO-filen ikke indeholder en checksumfil, bør udvikleren ideelt set i det mindste offentliggøre den hashværdien på deres officielle hjemmesideI så fald beregner du hashen med shasum o md5 på din Mac og sammenlign manuelt strengen med den, du ser på siden.

Når der hverken er en sumfil eller en publiceret værdi, bliver tingene komplicerede, fordi Du har ikke en "kildehenvisning"Du kan selv generere en hash til fremtidige kontroller, men det garanterer ikke, at den originale ISO ikke allerede er blevet manipuleret eller ødelagt.

I disse tilfælde er det mest fornuftige at gøre:

• Download kun ISO-filen fra projektets officielle hjemmeside eller fra verificerede spejle.
• Undgå tredjepartskilder af tvivlsom oprindelse, især hvis det involverer operativsystemer eller følsomme værktøjer.
• Tjek om udbyderen tilbyder GPG-firmaer eller andre alternative verifikationsmekanismer.

Hvis der virkelig ikke er nogen form for bekræftelse fra udvikleren, må du antage, at Der er ingen reel garanti for integritetog vurder, om det er værd at bruge den ISO eller at lede efter et mere pålideligt alternativ.

Hvordan verificerer balenaEtcher og Ventoy integriteten af ​​det, der er optaget på USB-drevet?

Når du skriver en ISO til et USB-drev ved hjælp af værktøjer som dd På macOS kopierer processen blot datablokke fra et sted til et andet uden at udføre yderligere kontroller. Hvis noget går galt undervejs, ved du det ikke, før du prøver at starte op og får opstartsfejl.

Applikationer som WhaleEtcher eller Ventoy De går et skridt videre og tilbyder verifikationsmuligheder efter skrivning. Konceptet er simpelt: når de har replikeret ISO-filen på drevet, De læser disse data igen fra USB-drevet og sammenligner dem med kildefilen..

Det, de normalt gør, er at genberegne en hash eller sammenlign blok for blokHvis indholdet, der læses fra USB-drevet, er identisk med det originale billede, angiver værktøjet, at processen var vellykket. Ellers advarer det om, at der var et problem under skriveprocessen.

Denne verifikation efter kopiering er uafhængig af, om ISO-filen inkluderer den eller ej. filer som md5sum.txtHvis udvikleren inkluderer disse filer i billedet, kan nogle værktøjer udnytte dem til at udføre en ekstra kontrol fra selve det opstartede system, men på niveauet af balenaEtcher eller Ventoy er nøglen at sammenligne kilde og destination.

Hvis ISO-standarden ikke inkluderer en intern kontrolsum, kan værktøjet blot kontrollere, at De data, der er ankommet på USB-drevet, matcher dataene i filen på din disk.hvilket ikke garanterer, at ISO-filen er legitim, men det garanterer, at den ikke er blevet beskadiget i overgangen fra "fil til fysisk medie".

recoveryOS på Mac: BaseSystem.dmg og BaseSystem.chunklist

Ud over de ISO-filer, du kan downloade, har din Mac sit eget gendannelsesmiljø kaldet recoveryOSsom er helt adskilt fra den primære macOS-installation. Hele gendannelsessystemet gemmes i en diskbilledfil kaldet BaseSystem.dmg.

Ved siden af ​​billedet er der en anden vigtig fil: BaseSystem.chunklistDenne fil indeholder en liste over hashes svarende til 10 MB store fragmenter af BaseSystem.dmg. Det er så at sige et opskåret integritetskort over hele gendannelsesbilledet.

Når Mac'en starter i recoveryOS, stoler UEFI-firmwaren ikke blindt på diskens indhold. Den evaluerer først digital signatur af chunklist-filen, og kun hvis signaturen er gyldig, begynder den at verificere hasherne for hver 10 MB-blok af BaseSystem.dmg én efter én.

Hvis nogen af ​​disse hashes ikke stemmer overens, betyder det, at indholdet af recoveryOS er blevet ændret eller ødelagt. I den situation, Opstarten fra det lokale recoveryOS er annulleret og firmwaren forsøger at gå i en internetgendannelsestilstand og downloader et rent billede fra Apples servere.

Hvis verifikationen af ​​chunklisten og alle fragmenter af BaseSystem.dmg fuldføres, monterer firmwaren dette billede som en RAM-disk og udfører boot.efi som den indeholder. UEFI behøver ikke specifikt at validere. boot.efi eller kernenfordi integriteten af ​​hele gendannelsesoperativsystemet allerede er blevet kontrolleret på forhånd på fuld image-niveau.

Apple Diagnostics og dens integritetsmekanisme

Apple beskytter ikke kun gendannelsesmiljøet, men også selve systemet. Apple DiagnostikDet vil sige det værktøj, der giver dig mulighed for at tjekke din Macs hardware uden at gå ind i det primære operativsystem.

Opstartsprocessen for lokal diagnosticering minder meget om den for recoveryOS. I dette tilfælde bruges filer. AppleDiagnostics.dmg y AppleDiagnostics.chunklistsom fungerer tilsvarende som BaseSystem.dmg og BaseSystem.chunklist, men er rettet mod testmiljøet.

UEFI-firmwaren verificerer signaturen af ​​diagnostic chunklisten og validerer derefter hasherne for blokkene i AppleDiagnostics.dmg-billedet. Hvis alt stemmer overens, i stedet for at starte boot.efiFirmwaren starter en fil kaldet diags.efi inden for det billede.

Den diags.efi-fil er ansvarlig for aktivere andre UEFI-drivere i stand til at interagere med hardwaren, køre hukommelses- og disktests osv. og vise dig eventuelle opdagede fejl. Igen er ideen, at kun kode, hvis integritet tidligere er blevet verificeret, udføres.

Denne billedbaserede tilgang .dmg med signerede chunklister Det giver Apple mulighed for at sikre, at både gendannelse og diagnosticering starter fra et betroet miljø, uden at være afhængig af, at den primære disk er i god stand eller fri for ondsindede ændringer.

Internetgendannelse og downloadsikkerhed

Hvis der opdages et problem under opstart af recoveryOS eller Apple Diagnostics, har UEFI-firmwaren en plan B: recoveryOS via internettetDu kan også aktivere den manuelt ved hjælp af tastaturgenveje, når du tænder din Mac.

I den tilstand opretter firmwaren forbindelse til Apples servere for at Download diskbillederne og deres chunklister tilsvarende. Selvom transporten udføres ved hjælp af HTTP i stedet for HTTPS, er integriteten af ​​disse billeder beskyttet på samme måde, som hvis de var på din egen disk.

Tricket er, at sikkerhed ikke er baseret på kryptering af transmissionen, men på valider det downloadede indhold mod den signerede chunklistSelv hvis nogen formåede at opfange forbindelsen og ændre dataene undervejs, ville hasherne ikke længere stemme overens, og firmwaren ville kassere det manipulerede billede.

Hvis verifikationen af ​​et specifikt fragment mislykkes, anmoder firmwaren om den blokering fra serveren igen, indtil 11 gange før de gav op og vise en fejl. Først når alle fragmenter består integritetstesten, er det tilladt at starte fra det downloadede gendannelsesbillede.

Da Apple introducerede internetgendannelse og -diagnosticering omkring 2011, besluttede de at bruge enklere HTTP og håndtere den kritiske del af autentificering og indholdsintegritet ved hjælp af chunklistsDette gjorde det muligt for dem at undgå at implementere hele HTTPS-stakken i UEFI-firmwaren, hvilket opretholdt en mindre angrebsoverflade og mere kontrolleret kode.

Sådan tjekker du, om din EFI-firmware er opdateret på macOS

ISO- og recoveryOS-billedernes integritet er fin, men det er også vigtigt at kende EFI-firmwarestatus af din Mac. Forældet firmware kan udsætte dig for sårbarheder, opstartsfejl eller inkompatibilitet med nyere versioner af macOS.

For at se, hvilken boot-ROM-version du har installeret, skal du blot følge disse trin i macOS-systemet:

1. Åbn menuen  og vælg indstillingen Om denne Mac.
2. Når vinduet vises, skal du klikke på knappen for at vise Systemrapport.
3. Gå til sektionen i sidebjælken Hardware og se efter marken Boot ROM-version.

Du vil se noget lignende MBP114.0177.B00Den første blok (MBP114 i eksemplet) identificerer din Mac-model, i dette tilfælde en 15-tommer 11,4" MacBook Pro fra 2015.

De efterfølgende grupper angiver i hexadecimalt format større og mindre firmwareversionerDette er de værdier, du skal sammenligne med de officielle tabeller eller opdaterede lister, der samler de nyeste firmwareversioner, der er tilgængelige for hver Mac-model.

Hvis din version er nyere end den, der vises i disse tabeller, betyder det normalt, at Du mangler en macOS-opdatering eller en firmware-patchfordi Apple distribuerer mange af disse firmwareforbedringer integreret i systemopdateringer.

Bekræft firmwareintegriteten med eficheck på macOS

macOS indeholder også et kommandolinjeværktøj, der er specielt designet til Kontroller integriteten af ​​EFI-firmwarensammenligner det med en liste over versioner, der er tilladt af Apple. Dette værktøj kaldes eficheck.

For at bruge det skal du åbne applikationen. terminal og kør følgende kommando:

/usr/libexec/firmwarecheckers/eficheck/eficheck --integrity-check

Hvis alt går vel, får du et output som dette:

EFI Version: MBP114.88Z.0183.B00.1804091616
Primary allowlist version match found. No changes detected in primary hashes.

I den udgang, præfikset MBP114 Det angiver igen Mac-modellen (i dette tilfælde den samme MacBook Pro 11,4), mens de følgende dele giver oplysninger om firmwareversionen og dens dato.

Blokken 0183 Dette svarer til den seneste firmwareversion, og B00 til den mindre version. Det endelige tal, 1804091616 I eksemplet koder den firmwarekompileringsdatoen (her kan den læses som 2018/04/09 16:16).

Meddelelsen "Match på primær tilladelseslisteversion fundet. Ingen ændringer fundet i primære hashes." indikerer, at Firmwaren matcher en version, der er genkendt og tilladt af Appleog at der ikke er registreret ændringer i de primære hashes. Hvis du ser en meget anderledes meddelelse, eller hvis den indikerer uoverensstemmelser, er det et alvorligt tegn på, at der kan være problemer med firmwarens integritet.

I det scenarie er den anbefalede fremgangsmåde kontakt en Apple Store eller med en autoriseret teknisk service for at få udstyret kontrolleret, da ændret eller beskadiget firmware ikke er tilstrækkeligt for typiske reparationer i hjemmet.

Tjek for fejl på diske og USB-drev fra macOS

ISO-filens integritet afhænger ikke kun af den downloadede fil, men også af disk eller USB-hukommelse, hvor den er gemt eller optagetEn mediedisk med dårlige sektorer kan ødelægge en installation, selvom ISO-filen er perfekt.

På macOS har du applikationen Diskværktøjsom fungerer som partitionsadministrator og et grundlæggende diagnosticeringsværktøj. Du finder det i mappen Programmer > Hjælpeprogrammereller ved at søge efter det i Spotlight (forstørrelsesglasikonet i menulinjen).

Diskværktøj kan også køres på sikker tilstand at analysere systemets egen bootdisk, selvom det tilrådes at følge Apples instruktioner i den forbindelse, da trinnene kan variere afhængigt af macOS-versionen og Mac-typen (Intel eller Apple Silicon).

Indtil versioner som Snow Leopard og Mavericks inkluderede applikationen klare muligheder for Kontroller disken y Reparer disksamt funktioner til at kontrollere og reparere tilladelser på Mac OS Extended (HFS+) formaterede enheder. På disse systemer:

• Du skal vælge drevet eller partitionen i venstre panel,
• Du har åbnet fanen Førstehjælp,
• Og derfra ville du iværksætte de nødvendige kontroller og reparationer.

I senere versioner af macOS, fra Yosemite til Sierra og videre, ændrede brugerfladen sig, men konceptet forblev. FørstehjælpVælg det indrykkede volumen (datavolumenet), og klik på Førstehjælp for at få macOS til at kontrollere filsystemet og, hvis det er muligt, rette fejl.

Disse analyser kan tage fra et par sekunder til flere minutter, afhængigt af volumenstørrelsen og antallet af korrektioner, der skal anvendes. Vinduet giver dig mulighed for at Vis eller skjul detaljer af processen for at se, hvad der kontrolleres, og hvilke problemer der opdages.

Bemærk, at kun diske formateret som Mac OS Extended eller APFS understøtter visse avancerede handlinger. Formater som FAT32 (MS-DOS) understøtter ikke tilladelser og har yderligere begrænsninger, så for at verificere USB-drev med disse formater kan det være bedst at bruge specifikke værktøjer fra producenten.

Hvis du efter at have udført førstehjælp bemærker tilbagevendende fejlmeddelelser, eller hvis enheden fortsætter med at opføre sig mærkeligt, er det meget sandsynligt, at den fysiske støtte svigterI så fald anbefales det at skifte USB-drev eller harddisk, før du fortsætter med at bruge ISO-billeder på det.

Brug af tredjeparts checksumværktøjer på macOS

Selvom macOS Terminal mere end dækker det grundlæggende med MD5 og SASHUNTNogle brugere foretrækker en grafisk brugerflade eller mere avancerede funktioner, især når de arbejder med mange filer eller har brug for at automatisere kontroller.

Der er apps som f.eks Hurtig Hash og andre checksumværktøjer, der giver dig mulighed for visuelt at beregne SHA1-, SHA256- og andre hashes ved at trække og slippe filer eller hele mapper. Disse værktøjer viser typisk flere summer på én gang og gør det nemt at kopiere og sammenligne resultater.

Hvis du håndterer mange ISO-billeder, kan det være praktisk at have et værktøj som dette til centraliser alle kontroller, gemme logfiler eller endda verificere grupper af filer, der er downloadet fra forskellige projekter.

Princippet forbliver dog det samme: applikationen genererer en hash fra ISO-filen, og du sammenligner den med de officielle værdier, der er offentliggjort af udviklerne. Derfor afhænger pålideligheden stadig af, hvad du bruger. Brug pålidelige kilder og verificér med autentiske data.

Mellem verifikation af den downloadede fil med kontrolsummer, kontrol af mediet med Diskværktøj og de integritetskontroller, som Apple udfører i recoveryOS, diagnosticering og firmware, har du en ret solid sikkerhedskæde for at sikre, at De ISO-billeder, du bruger på macOS, er pålidelige, og din computer starter fra verificerede miljøer..