您可能已经下载了一个GNU / Linux发行版来安装它。 通常,许多用户选择不验证任何内容,而只是下载 ISO影像,将其刻录在可启动媒体中,并准备安装其发行版。 充其量,有些人会验证金额,但不能验证金额本身的真实性。 但这可能导致文件被恶意第三方破坏或修改...
请记住,它不仅可以将您从损坏的文件中拯救出来,而且还可以 网络犯罪 您有意修改了映像,使其包含某些恶意软件或后门以监视用户。 实际上,这并不是第一次在发行版下载服务器和其他程序上发生这些攻击中的一种。
您之前需要知道的
好了,如您所知,当您下载发行版时,有几种类型的验证文件。 是这样吗 MD5和SHA。 唯一不同的是它们中已使用的加密算法,但是两者都具有相同的目的。 您最好使用SHA。
MGI 典型文件 在下载发行版时,除了ISO映像本身之外,您还可以找到:
- 发行版名称图像.iso:是包含发行版本身的ISO映像的映像。 它可以具有非常不同的名称。 例如,ubuntu-20.04-desktop-amd64.iso。 在这种情况下,它表示它是适用于台式机和AMD20.04架构(x64-86或EM64T,简称x64 86位)的Ubuntu 64发行版。
- MD5SUMS:包含图像的校验和。 在这种情况下,使用MD5。
- MD5SUMS.gpg:在这种情况下,它包含前一个文件验证的数字签名,以验证该文件是真实的。
- SHA256SUMS:包含图像的校验和。 在这种情况下,将使用SHA256。
- SHA256SUMS.gpg:在这种情况下,它包含前一个文件验证的数字签名,以验证该文件是真实的。
您已经知道,如果您使用 。激流 由于这些类型的客户端的下载过程中已包含验证,因此无需验证。
例子
现在放 一个实际的例子 在实际情况下如何进行验证。 假设我们要下载Ubunut 20.04并使用SHA256验证其ISO映像:
通常需要预先安装所需的程序。 否则,您将需要安装coreutils和gnupg软件包
- 下载ISO镜像 适当的Ubuntu。
- 下载验证文件。 也就是SHA256SUMS和SHA256SUMS.gpg。
- 现在,您必须从将它们下载到的目录(假设它们位于“下载”中)执行以下命令: 确认:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
MGI 结果抛出 这些命令不会提醒您。 在这种情况下,第二个命令将显示带有Ubuntu凭据的签名信息。 如果您阅读消息«没有迹象表明签名属于所有者»或«没有迹象表明签名属于所有者“ 不要恐慌。 它通常在没有被声明为可信赖的情况下发生。 这就是为什么您必须确保下载的密钥属于实体(在本例中为Ubuntu开发人员),并因此属于我的第三条命令...
第四个命令应该告诉您一切正常,或者«总和匹配»如果尚未修改ISO映像文件。 否则,它应该警告您某些问题...