您肯定已經下載了 GNU/Linux 發行版來安裝它。 通常,許多用戶選擇不驗證任何內容,只是下載 ISO影像,將其刻錄到可啟動媒體並準備安裝您的發行版。 充其量,有些人驗證了總和,但沒有驗證總和本身的真實性。 但這可能會導致文件被第三方惡意破壞或修改......
請記住,它不僅可以幫助您避免損壞的文件,還可以幫助您避免某些損壞的文件。 網絡犯罪 故意修改圖像以包含某些惡意軟件或後門來監視用戶。 事實上,針對發行版下載服務器和其他用於此目的的程序的攻擊並不是第一次發生。
之前您需要了解什麼
嗯,如您所知,當您下載發行版時,有多種類型的驗證文件。 是 MD5 和 SHA。 它們唯一不同的是它們所使用的加密算法,但兩者都有相同的目的。 您最好應該使用 SHA。
很多 典型文件 下載發行版時,除了 ISO 映像本身之外,您還可以找到:
- 發行版映像名稱.iso: 是包含發行版本身的 ISO 映像的映像。 它可以有許多不同的名稱。 例如,ubuntu-20.04-desktop-amd64.iso。 在本例中,它表明它是適用於桌面和 AMD20.04 架構(x64-86 或 EM64T,簡稱 x64 86 位)的 Ubuntu 64 發行版。
- MD5SUMS:包含圖像的校驗和。 在這種情況下,使用MD5。
- MD5SUMS.gpg:在這種情況下,它包含先前文件的數字驗證簽名,以驗證它是否真實。
- SHA256SUMS:包含圖像的校驗和。 在本例中使用 SHA256。
- SHA256SUMS.gpg:在這種情況下,它包含先前文件的數字驗證簽名,以驗證它是否真實。
您已經知道,如果您使用 的.torrent 無需驗證,因為此類客戶端的下載過程中包含驗證。
例子
現在讓我們把 一個實際的例子 在實際案例中應該如何進行驗證。 假設我們要下載 Ubunut 20.04 並使用 SHA256 驗證其 ISO 映像:
您需要的程序通常已預先安裝。 否則,您將需要安裝 coreutils 和 gnupg 軟件包。
- 下載 ISO 映像 Ubuntu 本身。
- 下載驗證文件。 即 SHA256SUMS 和 SHA256SUMS.gpg。
- 現在,您必須從下載它們的目錄執行以下命令(假設它們位於“下載”中) 確認:
cd Descargas gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0xD94AA3F0EFE21092 sha256sum -c SHA256SUMS
很多 結果拋出 所以這些命令不應該提醒您。 在本例中,第二個命令將顯示帶有 Ubuntu 憑據的簽名信息。 如果您閱讀一條消息 «沒有跡象表明簽名屬於所有者“要么”沒有跡象表明簽名屬於所有者“ 不要恐慌。 當它未被聲明為值得信賴時,通常會發生這種情況。 這就是為什麼您必須確保下載的密鑰屬於實體(在本例中為 Ubuntu 開發人員),因此我放置的第三個命令...
第四個命令應指示一切正常或“總和匹配» 如果 ISO 映像文件未被修改。 如果沒有,它應該提醒您出現問題......