从Internet下载操作系统镜像文件或软件有时会带来安全风险,由于恶意功击者可能会破损或更改文件。为了确保文件的真实性和完整性,有必要对其进行验证。在本文中,系统极客将介绍怎样在Linux上校验ISO文件。
本文内容涵括
哪些是ISO文件
ISO文件一般用于创建可引导媒体、安装软件或创建备份。ISO文件包含所有原始应用程序/光碟数据,以压缩格式储存,让其才能轻松地在Internet中进行下载和共享。
比如,假若您下载Ubuntu桌面版、服务器版或其他任何Linux操作系统,就会得到扩充名为.iso的文件。它还可用于应用程序或其他操作系统,如Windows。
为何要校准ISO文件
对下载的ISO文件进行校准十分有必要,可以确保下载的文件是真实且未被篡改的。更改后的ISO文件可能包含恶意软件或病毒,可能会损害您的系统。校准ISO文件可以确保下载的文件与发行商创建的文件相同且未被篡改。
几年前LinuxMint服务器遭受黑客功击,官方ISO文件被篡改。即使通过官方网站下载,但下载的文件也可能不是真实的。
为此鸟哥的linux私房菜,在将ISO文件用于安装之前,提早对它们进行验证十分重要。
推荐阅读:Windows校准文件哈希的两种常用方法和HashTools—批量文件哈希值校准工具
在Linux上校验ISO文件
在Linux中,一般有两种常用方式来验证ISO文件:
使用SHA-256Checksums校准ISO文件
SHA-256是一种加密哈希函数,用于为文件生成惟一的哈希值。Checksums(校准和)是将SHA-256算法应用于文件的结果,其为一个惟一的字符串,可用于验证文件的完整性。
若要使用SHA-256Checksums验证ISO文件,请从发行商官网下载SHA-256Checksums。SHA-256Checksums文件将包含ISO文件的「校验和」值。您须要也生成已下载的ISO文件的Checksums(校准和)值linux 修改文件扩展名,并将其与SHA-256Checksums文件中的「校验和」值进行比较。假如两个值匹配,则下载的ISO文件是真实的且未被更改。
1从Linux发行版官网下载所需版本的ISO文件及「校验和」文件(校准和文件一般是一个有或没有扩充名的文本文件)。
2打开「终端」并转入储存ISO文件的目录。
3在「终端」中使用sha256sum命令生成ISO文件的校准和。
比如linux 修改文件扩展名,要生成名为ubuntu-22.04.2-desktop-amd64.iso的ISO文件的校准和,请运行以下命令:
sha256sum ubuntu-22.04.2-desktop-amd64.iso
使用SHA-256Checksums校准ISO文件
4将生成的校准和与官方提供的SHA-256Checksums文件中的值进行比较。假如两个值匹配,则ISO文件是真实的且未被更改。您可以自动对比,也可以直接使用命令在生成校准和的同时与官方提供的值进行对比:
sha256sum -c SHA256SUMS
使用SHA-256Checksums校准ISO文件
各大Linux发行版普遍还会在官方下载网站提供ISO校准和文件,比如Ubuntu就在UbuntuReleases网站为各版本的ISO提供了校准文件。
使用GPG签名校准ISO文件
GPG是一种加密方法,可用于订立和验证文件。GPG签名是一种数字签名,可确保文件的真实性和完整性。开发人员使用其公钥对ISO文件进行签名,用户使用开发人员的私钥验证签名。
要使用GPG签名验证ISO文件,须要从发行商官网下载GPG签名文件。GPG签名文件将包含开发人员的私钥和ISO文件的签名。您须要导出开发人员的私钥,下载ISO文件和GPG签名文件,并使用开发人员的私钥验证ISO文件的签名。假如签名有效,则ISO文件是真实的且未被更改。
1从Linux发行版官网下载所需版本的ISO及.gpg签名文件
2从Linux发行版官网或秘钥服务器导出私钥。我使用了以下命令来导出Ubuntu的私钥作为示例:
gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092
3一旦完成上述步骤,请运行以下命令以校准ISO文件:
gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS
使用GPG签名校准ISO文件
假如文件是真实的,您应当会在上述命令的输出中听到「完好的签名」信息。另外,您可以匹配私钥的最后8个字节。「警告」是一个通用信息,可以忽视它。
对下载的ISO文件进行验证,以确保真实性和完整性是十分有必要的。通过本文介绍的两种方式,可以确保ISO未经更改而且安全可靠。
请记住linux 下载,虽然您从官方网站下载,在校准ISO文件之前,也难以确定ISO文件是否真实。为此,请将此文作为最佳实践。
文章评论