Ketika kita mendownload gambar ISO dari distribusi Linux, penting untuk memastikan bahwa file yang diunduh adalah salinan asli dan tidak diubah. Memverifikasi integritas dan keaslian gambar ISO adalah langkah penting untuk melindungi sistem kita dari potensi masalah yang disebabkan oleh file yang rusak atau berbahaya.
Memverifikasi Integritas Gambar ISO Linux
- Unduh Gambar ISO:
Pertama, unduh file gambar ISO dari distribusi Linux yang diinginkan dari situs resmi. Sebagai contoh, kita akan menggunakan gambar ISO terbaru dari openSUSE Leap yang diunduh dari situs resminya. - Unduh File Checksum:
Bersamaan dengan gambar ISO, Anda juga perlu mengunduh file checksum yang sesuai (biasanya berupa file .sha256 atau .md5). File ini berisi nilai hash kriptografis untuk gambar ISO. - Hitung Checksum:
Setelah memiliki gambar ISO dan file checksum, Anda dapat menggunakan utilitas seperti sha256sum atau md5sum untuk menghitung nilai hash dari gambar ISO yang diunduh. Contoh:
$ sha256sum openSUSE-Leap-15.6-DVD-x86_64-Media.iso
ac1fbaf0071bdb71b8222fa1f40d6dd013e5699bb55c5636dce85beb0818985d openSUSE-Leap-15.6-DVD-x86_64-Media.iso- Bandingkan Checksum:
Bandingkan nilai hash yang dihitung dengan yang tercantum dalam file checksum yang diunduh. Jika nilai-nilai ini cocok, itu berarti gambar ISO tidak rusak dan tidak dimodifikasi selama proses pengunduhan. Contoh:
$ cat openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256
ac1fbaf0071bdb71b8222fa1f40d6dd013e5699bb55c5636dce85beb0818985d openSUSE-Leap-15.6-DVD-x86_64-Media.isoDalam contoh ini, nilai hash yang dihitung (ac1fbaf0071bdb71b8222fa1f40d6dd013e5699bb55c5636dce85beb0818985d) cocok dengan yang tercantum dalam file .sha256, menunjukkan bahwa gambar ISO openSUSE Leap 15.6 yang diunduh adalah asli dan tidak diubah.
Jika nilai hash tidak cocok, berarti gambar ISO telah rusak atau dimodifikasi, dan Anda harus mengunduhnya kembali dari sumber resmi.
Beberapa distribusi Linux juga menyediakan tanda tangan GPG (GNU Privacy Guard) untuk gambar ISO mereka. Dalam kasus seperti ini, Anda dapat menggunakan perintah gpg untuk memverifikasi tanda tangan digital, memastikan bahwa gambar ISO memang dirilis oleh pemelihara distribusi resmi.
Membandingkan Checksum Menggunakan Perintah sha256sum
Membandingkan checksum secara manual bisa melelahkan dan rentan terhadap kesalahan, terutama ketika berurusan dengan nilai hash yang panjang. Untungnya, ada cara yang lebih nyaman untuk mengotomatiskan proses verifikasi menggunakan satu perintah.
Sebagian besar distribusi Linux menyediakan opsi yang mudah untuk memverifikasi gambar ISO terhadap file checksum secara otomatis. Berikut adalah cara melakukannya:
- Unduh Gambar ISO dan File Checksum:
Unduh gambar ISO dan file checksum yang sesuai (misalnya, SHA256SUMS atau MD5SUMS) dari situs resmi. - Gunakan Opsi -c dengan Utilitas Checksum:
Opsi -c menginstruksikan utilitas checksum (sha256sum, md5sum, dll.) untuk membaca checksum dari file dan memverifikasi integritas file yang sesuai. Contoh:
$ sha256sum -c openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256
openSUSE-Leap-15.6-DVD-x86_64-Media.iso: OKDalam contoh ini, perintah sha256sum membaca checksum dari file openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256 dan membandingkannya dengan file gambar ISO yang sebenarnya (openSUSE-Leap-15.6-DVD-x86_64-Media.iso). Jika checksum cocok, maka akan menampilkan OK, menunjukkan bahwa gambar ISO adalah asli dan tidak diubah.
Jika checksum tidak cocok, Anda akan melihat pesan kesalahan seperti ini:
$ sha256sum -c openSUSE-Leap-15.6-DVD-x86_64-Media.iso.sha256
openSUSE-Leap-15.6-DVD-x86_64-Media.iso: FAILED
sha256sum: WARNING: 1 computed checksum did NOT matchBerikut adalah contoh lain.
Tim Linux Mint menyediakan file sha256sum.txt bersama dengan file ISO. Anda dapat memverifikasi keaslian file ISO menggunakan file sha256sum.txt seperti di bawah ini:
$ sha256sum -c sha256sum.txt
linuxmint-22-cinnamon-64bit-beta.iso: OKPerintah ini akan memeriksa checksum SHA-256 dari file ISO terhadap nilai yang ditentukan dalam file sha256sum.txt.
Jika checksum cocok, akan menampilkan “OK”. Ini berarti bahwa file ISO adalah asli dan tidak diubah.
Pendekatan otomatis ini menghemat Anda dari membandingkan checksum secara manual dan mengurangi kemungkinan kesalahan manusia.
Beberapa Poin Penting yang Perlu Diingat:
- Pastikan Anda berada di direktori yang sama dengan gambar ISO dan file checksum saat menjalankan perintah.
- File checksum harus memiliki konvensi penamaan yang benar (misalnya, SHA256SUMS untuk checksum SHA-256, MD5SUMS untuk checksum MD5).
- Jika checksum tidak cocok, Anda harus mengunduh gambar ISO lagi dari sumber resmi.
Dengan menggunakan opsi -c dengan utilitas checksum, Anda dapat dengan mudah dan andal memverifikasi integritas gambar ISO yang diunduh, memastikan proses instalasi yang aman dan terpercaya.
Memverifikasi Keaslian File sha256sum.txt
Seperti yang sudah saya sebutkan, file sha256sum.txt berisi checksum yang digunakan untuk memverifikasi integritas gambar ISO Linux. Jika file ini dimodifikasi, seorang penyerang dapat mendistribusikan gambar ISO yang dimodifikasi yang tampaknya sah tetapi sebenarnya mengandung kode berbahaya.
Dengan memverifikasi keaslian file sha256sum.txt, Anda dapat yakin bahwa checksum yang dikandungnya adalah asli dan tidak diubah. Ini memberi Anda kepastian bahwa gambar ISO yang Anda unduh adalah yang benar-benar dirilis oleh tim resmi dan tidak diubah.
Untuk memverifikasi keaslian file sha256sum.txt, Anda perlu memeriksa tanda tangan file sha256sum.txt.gpg. Proses ini memastikan bahwa file sha256sum.txt, yang berisi checksum yang digunakan untuk memverifikasi integritas gambar ISO, tidak diubah.
Untuk tujuan panduan ini, kita akan menggunakan gambar ISO terbaru dari Linux Mint 22.
- Impor Kunci Penandatanganan Linux Mint:
Anda perlu mengimpor kunci penandatanganan Linux Mint ke sistem Anda terlebih dahulu. Ini dapat dilakukan dengan menggunakan perintah berikut:
gpg --keyserver hkp://keys.openpgp.org:80 --recv-key 27DEB15644C6B3CF3BD7D291300F846BA25BAE09Anda kemudian dapat memverifikasi apakah kunci tersebut berhasil diimpor dengan menggunakan perintah berikut:
gpg --list-key --with-fingerprint A25BAE09Outputnya harus berisi 27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09.
- Verifikasi Keaslian File sha256sum.txt:
Setelah kunci diimpor, Anda dapat memverifikasi keaslian file sha256sum.txt menggunakan perintah berikut:
gpg --verify sha256sum.txt.gpg sha256sum.txtOutputnya harus mengonfirmasi bahwa tanda tangan file “baik” dan bahwa itu ditandatangani dengan kunci yang benar (27DEB15644C6B3CF3BD7D291300F846BA25BAE09).
Anda mungkin menerima peringatan bahwa tanda tangan Linux Mint tidak dipercaya oleh komputer Anda. Ini normal dan diharapkan.
Memverifikasi Gambar ISO Menggunakan Linux Mint
Jika Anda menggunakan Linux Mint, terdapat alat bawaan untuk memverifikasi gambar ISO. Alat ini dapat diakses dengan mengklik kanan gambar ISO dan memilih “Verify”.
Sebagai alternatif, alat baris perintah mint-iso-verify dapat digunakan dengan file ISO. Misalnya, untuk memverifikasi file ISO bernama “linux-mint.iso”, Anda dapat menggunakan perintah:
mint-iso-verify linux-mint.isoKesimpulan
Memverifikasi gambar ISO sangat PENTING untuk menjaga integritas dan keamanan distribusi Linux yang akan Anda instal. Ini adalah praktik yang disarankan untuk selalu memeriksa checksum atau tanda tangan digital sebelum melanjutkan dengan