Những điều bạn cần biết về Kali Linux Image

Để chạy Kali “Live” từ ổ USB trên máy tính Windows và Apple tiêu chuẩn, bạn sẽ cần một Linux Kali ISO Image có khả năng khởi động, ở định dạng 32 bit hoặc 64 bit.

File ISO cho máy tính dựa trên nền tảng Intel

Nếu bạn không chắc chắn về cấu ​​trúc của hệ thống bạn muốn chạy Kali trên đó (trên Linux hoặc OS X), bạn có thể chạy lệnh sau tại command line:

uname -m

Nếu bạn nhận được phản hồi, "x86_64", hãy sử dụng ISO Image 64 bit (ảnh có chứa "amd64" trong tên file). Nếu bạn nhận được phản hồi “i386”, hãy sử dụng hình ảnh 32-bit (ảnh có chứa “i386” trong tên file). Nếu bạn đang sử dụng hệ thống Windows, hãy kiểm tra cấu hình, thông tin phần cứng máy tính, laptop để biết máy đang chạy Windows x86 hay x64.

Các Kali Linux Image có sẵn dưới dạng file “.iso/.img” có thể tải xuống trực tiếp hoặc qua các file “.torrent”.

Xây dựng Kali Linux ISO của riêng bạn, tiêu chuẩn hoặc tùy chỉnh, là một quá trình rất đơn giản.

VMware Image

Nếu bạn muốn chạy Kali Linux với tư cách “khách” trong VMware, Kali sẽ đóng vai trò như một máy ảo VMware được xây dựng sẵn với các VMware Tool đã được cài đặt. VMware Image có sẵn ở định dạng 64 bit (amd64), 32 bit (i686) và 32 bit PAE (i486).

ARM Image

Cấu ​​trúc phần cứng của các thiết bị dựa trên ARM thay đổi đáng kể, vì vậy không thể chỉ có một hình ảnh duy nhất hoạt động trên tất cả các thiết bị. Các Kali Linux Image được tạo cho cấu ​​trúc ARM có sẵn cho nhiều loại thiết bị.

Kịch bản để xây dựng ARM Image của riêng bạn cũng có sẵn trên GitHub.

Xác minh Kali Image đã tải xuống

Tại sao cần phải làm điều này?

Trước khi bạn chạy Kali Linux Live, hoặc cài đặt nó vào ổ đĩa cứng, bạn cần chắc chắn rằng những gì bạn đã có thực sự là Kali Linux, và không phải là một phần mềm giả mạo nào khác hay không. Kali Linux là một bộ công cụ kiểm tra thâm nhập chuyên nghiệp. Đã là một công cụ thử nghiệm thâm nhập chuyên nghiệp thì việc đảm bảo tuyệt đối về tính toàn vẹn của các công cụ là rất quan trọng: nếu các công cụ không đáng tin cậy thì các kết quả kiểm nghiệm đưa ra cũng sẽ không đáng tin cậy.

Hơn nữa, vì là bản phân phối thử nghiệm thâm nhập hàng đầu, một phiên bản giả mạo của Kali Linux có thể gây ra một ảnh hưởng vô cùng to lớn nếu nó vô tình được triển khai. Có rất nhiều người đã không may cài đặt nhầm một bản Kali Linux giả mạo và bạn chắc chắn không muốn mình nằm trong số ấy.

Để tránh điều này rất đơn giản:

• Chỉ tải xuống Kali Linux qua các trang web chính thức https://www.kali.org/downloads hoặc https://www.offensive-security.com/kali-linux-vmware-arm-image-download/. Bạn sẽ không thể duyệt các trang này mà không cần mã hóa SSL - loại mã hóa kết nối khiến cho kẻ tấn công sử dụng phương pháp tấn công “man-in-the-middle” (người trung gian) nhằm sửa đổi quá trình tải xuống gặp khó khăn hơn nhiều.
• Sau khi bạn tải xuống và trước khi chạy một Image, hãy xác thực lại bằng một trong các quy trình được nêu chi tiết bên dưới.

Có một số phương pháp để xác minh việc tải xuống của bạn. Mỗi phương pháp cung cấp một mức độ bảo đảm nhất định và yêu cầu một nỗ lực tương ứng từ phía người dùng.

• Bạn có thể tải xuống một ISO Image từ một trang download chính thức của Kali Linux, tính toán hàm SHA256 của ISO và so sánh nó bằng cách kiểm tra với giá trị được liệt kê trên trang web Kali Linux. Điều này rất nhanh chóng và dễ dàng, nhưng có khả năng dễ bị tấn công thông qua một DNS nhiễm mã độc - tức là bằng cách nào đó, kẻ tấn công sẽ “nạp” một hình ảnh và chữ ký SHA256 trùng khớp trên trang web giả mạo vào trang web chính thức của Kali Linux.
• Bạn có thể tải xuống một ISO Image qua torrents và nó cũng sẽ kéo xuống một file chứa chữ ký SHA256. Sau đó bạn có thể sử dụng lệnh shasum (trên Linux và OS X) hoặc một tiện ích (trên Windows) để tự động xác minh rằng chữ ký được tính của file này khớp với chữ ký trong file phụ. Điều này thậm chí còn dễ dàng hơn phương pháp "thủ công", nhưng bị yếu điểm tương tự: nếu torrent bạn kéo xuống không thực sự là Kali Linux, nó sẽ cho bạn một chữ ký giả mạo.
• Để gần như chắc chắn nhất Kali Linux bạn đã tải xuống là thật, bạn có thể tải xuống cả file chữ ký rõ ràng và phiên bản của cùng một file đã được đăng ký với khóa riêng Kali Linux chính thức và sử dụng GNU Privacy Guard (GPG) để, đầu tiên, xác minh rằng chữ ký SHA256 được tính toán và chữ ký trong file đối sánh văn bản trùng khớp; thứ hai, xác minh rằng phiên bản của file chứa hàm SHA256 đã được đăng ký chính xác bằng khóa chính thức.

Nếu bạn sử dụng quy trình phức tạp hơn này và xác thực thành công ISO đã tải xuống, bạn có thể đảm bảo hoàn toàn chắc chắn rằng những gì bạn có là hình ảnh chính thức và không bị giả mạo theo bất kỳ cách nào. Phương pháp này, dù phức tạp nhất nhưng có lợi thế là cung cấp sự đảm bảo độc lập về tính toàn vẹn của hình ảnh. Điều duy nhất làm phương pháp này có thể thất bại là khóa bí mật Kali Linux chính thức có thể bị kẻ tấn công lật đổ.

Bạn cần làm gì?

• Nếu bạn đang chạy trên Linux, có thể bạn đã cài đặt GPG (GNU Privacy Guard). Nếu bạn đang sử dụng Windows hoặc OS X, bạn cần cài đặt phiên bản thích hợp cho nền tảng của mình.
• Nếu bạn đang sử dụng PC chạy Windows, hãy tải xuống và cài đặt GPG4Win: https://www.gpg4win.org/download.html
• Nếu bạn đang sử dụng Macintosh chạy OS X, hãy tải xuống và cài đặt GPGTools: https://gpgtools.org/

Vì Windows không có khả năng tính toán checksum SHA256, bạn cũng sẽ cần một tiện ích như Microsoft File Checksum Integrity Verifier hoặc Hashtab để xác minh việc tải xuống của mình.

• Sau khi cài đặt GPG, bạn cần phải tải xuống và nhập bản sao khóa chính thức của Kali Linux. Làm điều này với lệnh sau:

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --import

hoặc lệnh:

$ gpg --keyserver hkp://keys.gnupg.net --recv-key 7D8D0BF6

• Kết quả bạn sẽ thấy như sau:

gpg: key 7D8D0BF6: public key "Kali Linux Repository <devel@kali.org>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)

• Xác minh rằng khóa được cài đặt đúng với lệnh:

gpg --fingerprint 7D8D0BF6

• Kết quả sẽ như sau:

pub rsa4096 2012-03-05 [SC] [expires: 2021-02-03]
44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid [ full ] Kali Linux Repository <devel@kali.org>
sub rsa4096 2012-03-05 [E] [expires: 2021-02-03]

Bạn hiện đã được thiết lập để xác thực bản tải xuống Kali Linux của mình.

Làm cách nào để xác minh hình ảnh đã tải xuống?

Xác minh thủ công Chữ ký trên ISO (Tải xuống Trực tiếp)

Nếu bạn đã tải xuống ISO trực tiếp từ trang tải xuống, hãy xác minh nó bằng quy trình sau.

Trên Linux, hoặc OS X, bạn có thể tạo ra checksum SHA256 từ ISO Image bạn đã tải xuống bằng lệnh sau đây (giả sử rằng ISO Image có tên là "linux-linux.2-amd64.iso" và nằm trong dòng hiện tại của danh mục):

shasum -a 256 kali-linux-2016.2-amd64.iso

Kết quả hiện ra như sau:

1d90432e6d5c6f40dfe9589d9d0450a53b0add9a55f71371d601a5d454fa0431 kali-linux-2016.2-amd64.iso

Chữ ký SHA256 kết quả, “1d90432e6d5c6f40dfe9589d9d0450a53b0add9a55f71371d601a5d454fa0431” sẽ trùng khớp với chữ ký được hiển thị trong cột “sha256sum” trên trang tải xuống chính thức cho cấu trúc Intel 64-bit Kali Linux 2016.2 ISO Image.

Xác minh Chữ ký trên ISO Sử dụng file Chữ ký đi kèm (Tải xuống Torrent)

Nếu bạn đã tải xuống bản sao của ISO Kali Linux Image qua torrent, ngoài file ISO (ví dụ: linux-2016.2-amd64.iso), sẽ có file thứ hai chứa chữ ký SHA256 được tính cho ISO, với phần mở rộng là “.txt.sha256sum” (ví dụ: linux-2016.2-amd64.txt.sha256sum). Bạn có thể sử dụng file này để xác minh tính xác thực của bản tải xuống trên Linux hoặc OS X bằng lệnh sau:

grep kali-linux-2016.2-amd64.iso kali-linux-2016.2-amd64.txt.sha256sum | shasum -a 256 -c

Nếu hình ảnh được xác thực thành công, phản hồi nhận được sẽ như sau:

kali-linux-2016.2-amd64.iso: OK

LƯU Ý QUAN TRỌNG! Nếu bạn không thể xác minh tính xác thực của hình ảnh Kali Linux đã tải xuống như được mô tả trong phần trước thì KHÔNG sử dụng nó! Việc sử dụng nó có thể gây nguy hiểm cho hệ thống của bạn, bất kỳ mạng nào bạn kết nối cũng như các hệ thống khác trên mạng đó. Dừng lại và đảm bảo rằng bạn đã tải xuống các hình ảnh Kali Linux chính thống.

Xác minh ISO bằng cách sử dụng file SHA256SUMS

Đây là một thủ tục phức tạp hơn, nhưng cung cấp một mức độ xác nhận chính xác hơn nhiều: nó không phụ thuộc vào tính toàn vẹn của trang web mà bạn đã tải xuống hình ảnh, chỉ có khóa phát triển Kali Linux chính thức mà bạn cài đặt độc lập. Để xác minh hình ảnh của bạn theo cách này cho phiên bản cấu ​​trúc Intel của Kali, bạn sẽ cần tải xuống ba file từ trang "Live CD Image" của Kali cho bản phát hành hiện tại (v2016.2, theo bài viết này):

• Chính ISO Image (ví dụ: linux-linux-2016.2-amd64.iso)
• File có chứa hàm SHA256 được tính toán cho ISO, SHA256SUMS
• Phiên bản đã đăng ký của file đó, SHA256SUMS.gpg

Trước khi xác minh checksum của hình ảnh, bạn phải đảm bảo rằng file SHA256SUMS là file được tạo bởi Kali. Đó là lý do tại sao file được đăng ký bởi khóa chính thức của Kali với chữ ký tách rời trong SHA256SUMS.gpg. Nếu bạn chưa làm như vậy, khóa chính thức của Kali có thể được tải xuống và nhập vào keychain của bạn bằng lệnh này:

$ wget -q -O - https://www.kali.org/archive-key.asc | gpg --import

hoặc lệnh này:

$ gpg --keyserver hkp://keys.gnupg.net --recv-key 7D8D0BF6

Kết quả sẽ hiện ra như sau:

gpg: key 7D8D0BF6: public key "Kali Linux Repository <devel@kali.org>" imported
gpg: Total number processed: 1
gpg:  imported: 1 (RSA: 1)

Bạn nên xác minh rằng khóa được cài đặt đúng với lệnh:

gpg --fingerprint 7D8D0BF6

Kết quả sẽ như sau:

pub rsa4096 2012-03-05 [SC] [expires: 2021-02-03]
44C6 513A 8E4F B3D3 0875 F758 ED44 4FF0 7D8D 0BF6
uid [ full ] Kali Linux Repository <devel@kali.org>
sub rsa4096 2012-03-05 [E] [expires: 2021-02-03]

Khi bạn đã tải xuống cả SHA256SUMS và SHA256SUMS.gpg, bạn có thể xác minh chữ ký như sau:

$ gpg --verify SHA256SUMS.gpg SHA256SUMS
gpg: Signature made Thu 16 Mar 08:55:45 2017 MDT using RSA key ID 7D8D0BF6
gpg: Good signature from "Kali Linux Repository <devel@kali.org>"

• Nếu bạn không nhận được thông báo "Good signature" hoặc nếu ID khóa không khớp, thì bạn nên dừng lại và xem xét lại bản tải. Xác minh không thành công cho thấy hình ảnh có thể đã bị giả mạo.
• Nếu bạn đã nhận được phản hồi “Good signature”, bây giờ bạn có thể yên tâm rằng checksum trong file SHA256SUMS thực sự được cung cấp bởi nhóm phát triển Kali Linux. Tất cả những gì còn lại cần thực hiện để hoàn thành xác minh là xác thực rằng chữ ký bạn tính từ ISO đã tải xuống khớp với chữ ký trong file SHA256SUMS. Bạn có thể thực hiện điều đó trên Linux hoặc OS X bằng lệnh sau đây (giả sử rằng ISO được đặt tên là "linux-linux-2016.2-amd64.iso" và nằm trong thư mục hiện hành):

grep kali-linux-2016.2-amd64.iso SHA256SUMS | shasum -a 256 -c

Nếu hình ảnh được xác thực thành công, phản hồi sẽ như sau:

kali-linux-2016.2-amd64.iso: OK

Nếu bạn không nhận được phản hồi “OK”, hãy dừng lại và xem lại lại bản tải vì hình ảnh Kali mà bạn download có vẻ đã bị giả mạo. Đừng sử dụng nó.

Sau khi tải xuống và xác minh hình ảnh của mình, bạn có thể tiến hành tạo ổ USB Kali Linux Live có thể khởi động.

Xem thêm:

• Cách quét trang web tìm lỗ hổng bảo mật tiềm ẩn bằng Vega trên Kali Linux
• Cách cài đặt Kali Linux trên Android sử dụng Linux Deploy
• Những lệnh Kali Linux từ A-Z và lệnh thường dùng