欢迎大家来到IT世界,在知识的湖畔探索吧!
本文译自:How To Verify ISO Images In Linux
译者:开源视界
校对:OpenView
原文链接:https://www.ostechnix.com/how-to-verify-iso-images-in-linux/
原文遵循CC BY-NC 4.0协议
BY SK · PUBLISHED JULY 26, 2019 · UPDATED JULY 26, 2019
你刚从官方网站下载了你最喜欢的Linux发行版的ISO镜像,现在该干嘛呢?创建启动盘然后开始安装OS?不,等一等。在开始使用镜像前,我们强烈推荐你验证一下下载的ISO真的就是镜像站提供的ISO文件。因为多年前,Linux Mint的网站就被黑了,然后黑客修改了Linux Mint的ISO文件,在其中安装了后门。因此,检查你下载的Linux ISO镜像的真实性和完整性是非常重要的。如果你不知道如何在Linux中验证ISO镜像,这个简短的教程将对你有所帮助。请继续阅读吧!
在Linux上验证ISO镜像
我们可以通过Checksum值来验证ISO镜像。Checksum是一串用于检查文件数据错误和真实性以及完整性的字母和数字组成的序列。checksums的类型有许多种,比如SHA-0、SHA-1、SHA-2(224, 256, 384, 512)和MD5.MD5 sums是目前最为流行的,但是SHA-256是现代Linux发行版使用得最多的。
我们将使用两个叫做“gpg”和“sha256”的工具来验证ISO镜像的真实性和完整性。
下载chekcsums和签名
为了达到这个指南的目的,我将使用Ubuntu 18.04 LTS服务器ISO镜像作为例子。不过,下面的步骤对于其它Linux发行版也是适用的。
在Ubuntu下载页面的顶部,你将看见一些额外的文件(checksums和signatures),如下图所示。
这里SHA256SUMS文件包含有所有可获取的镜像文件的checksums,而SHA256SUMS.gpg文件是该文件的GnuPG签名。我们适用该签名文件来验证checksum文件。
下载Ubuntu ISO镜像,以及下面两个文件,然后将其放到同一个目录,例如ISO。
$ ls ISO/ SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso
欢迎大家来到IT世界,在知识的湖畔探索吧!
就如你在输出中所见,我已经下载了Ubuntu 18.04 LTS服务器镜像以及cheksum和签名。
下载有效的signature key
现在,使用命令下载正确的signature key:
欢迎大家来到IT世界,在知识的湖畔探索吧!$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
输出样例:
gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" imported gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" imported gpg: no ultimately trusted keys found gpg: Total number processed: 2 gpg: imported: 2
验证SHA-256 checksum
接下来使用signature来验证checksum文件:
欢迎大家来到IT世界,在知识的湖畔探索吧!$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
输出样例:
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using DSA key 46181433FBB75451 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <cdimage@ubuntu.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451 gpg: Signature made Friday 15 February 2019 04:23:33 AM IST gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <cdimage@ubuntu.com>" [unknown] gpg: WARNING: This key is not certified with a trusted signature! gpg: There is no indication that the signature belongs to the owner. Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092
如果你再输出中看见了“Good signature”,表明chekcsum文件是有Ubuntu开发者和key文件的所有这创建的。
检查下载的ISO文件
接下来,让我们继续前进并检查下载的ISO文件。只需要简单运行下面命令即可:
$ sha256sum -c SHA256SUMS 2>&1 | grep OK ubuntu-18.04.2-live-server-amd64.iso: OK
如果checksum的值是匹配的,你讲看见“OK”信息。意味着下载的文件是合法的并且没有被改变或者篡改。
如果你没有得到任何输出或者得到了不同以上的输出,ISO文件是被篡改过或者出现了下载错误。你需要从一个好的源重新下载文件。
一些Linux发行版已经在下载页面包含了checksum值。例如,Pop!_os的开发者就在下载页面提供了所有的ISO镜像的checksum值,因此你可以很快地验证ISO镜像文件。
在下载了ISO镜像后,通过下面的命令来验证它:
$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
输出样例:
680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso
在这里,以”680elaa…”开头的随机字符串就是SHA-256 checksum值。将该值与下载页面提供的SHA-256 sum值进行对比。如果两个值是一样的,你就可以安全地继续你的工作了!下载的ISO文件是合法的,并且它与原始状态相比并未被改变。
这就是我们在Linux上验证一个ISO文件的真实性和完整性的方法。无论你是从官方还是第三方源下载的ISO文件,都推荐你在使用它们前进行一个快速的校验。希望这对你有用。
推荐阅读(点击跳转)
Linux中使用snap和flatpak来安装和管理应用程序
喜欢使用Linux办公、学习、hack的朋友们可以点击关注小编,小编将竭力提供更多内容给大家交流~
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/35855.html