千锋扣丁学堂Linux培训之如何验证ISO镜像

2019-08-12 14:18:46 3250浏览

今天千锋扣丁学堂Linux培训老师给大家分享一篇关于如何在Linux中验证ISO镜像的详细介绍，首先比如你从喜爱的Linux发行版的官方网站或第三方网站下载了它的ISO镜像之后，接下来要做什么呢？下面我们一起来看一下吧。

难道是创建可启动介质并开始安装系统吗？并不是，请稍等一下。在开始使用它之前，强烈建议你检查一下你刚下载到本地系统中的ISO文件是否是下载镜像站点中ISO文件的一个精确拷贝。因为在前几年LinuxMint的网站被攻破了，并且攻击者创建了一个包含后门的经过修改的LinuxMintISO文件。所以验证下载的LinuxISO镜像的可靠性和完整性是非常重要的一件事儿。

在Linux中验证ISO镜像

我们可以使用ISO镜像的“校验和”来验证ISO镜像。校验和是一系列字母和数字的组合，用来检验下载文件的数据是否有错以及验证其可靠性和完整性。当前存在不同类型的校验和，例如SHA-0、SHA-1、SHA-2（224、256、384、512）和MD5。MD5校验和最为常用，但对于现代的Linux发行版，SHA-256最常被使用。

我们将使用名为gpg和sha256的两个工具来验证ISO镜像的可靠性和完整性。

下载校验和及签名

针对本篇指南的目的，我将使用Ubuntu18.04LTS服务器ISO镜像来做验证，但对于其他的Linux发行版应该也是适用的。

在靠近Ubuntu下载页的最上端，你将看到一些额外的文件（校验和及签名），正如下面展示的图片那样：


Ubuntu18.04的校验和及签名

其中名为SHA256SUMS的文件包含了这里所有可获取镜像的校验和，而SHA256SUMS.gpg文件则是这个文件的GnuPG签名。在下面的步骤中，我们将使用这个签名文件来验证校验和文件。

下载Ubuntu的ISO镜像文件以及刚才提到的那两个文件，然后将它们放到同一目录下，例如这里的ISO目录：

$ ls ISO/
SHA256SUMS SHA256SUMS.gpg ubuntu-18.04.2-live-server-amd64.iso

如你所见，我已经下载了Ubuntu18.04.2LTS服务器版本的镜像，以及对应的校验和文件和签名文件。

下载有效的签名秘钥

现在，使用下面的命令来下载正确的签名秘钥：

$ gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x46181433FBB75451 0xD94AA3F0EFE21092

示例输出如下：

gpg: key D94AA3F0EFE21092: 57 signatures not checked due to missing keys
gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" imported
gpg: key 46181433FBB75451: 105 signatures not checked due to missing keys
gpg: key 46181433FBB75451: public key "Ubuntu CD Image Automatic Signing Key <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 2
gpg: imported: 2

验证SHA-256校验和

接下来我们将使用签名来验证校验和文件：

$ gpg --keyid-format long --verify SHA256SUMS.gpg SHA256SUMS

下面是示例输出：

gpg: Signature made Friday 15 February 2019 04:23:33 AM IST
gpg: using DSA key 46181433FBB75451
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: C598 6B4F 1257 FFA8 6632 CBA7 4618 1433 FBB7 5451
gpg: Signature made Friday 15 February 2019 04:23:33 AM IST
gpg: using RSA key D94AA3F0EFE21092
gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012) <[email protected]>" [unknown]
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 8439 38DF 228D 22F7 B374 2BC0 D94A A3F0 EFE2 1092

假如你在输出中看到Goodsignature字样，那么该校验和文件便是由Ubuntu开发者制作的，并且由秘钥文件的所属者签名认证。

检验下载的ISO文件

下面让我们继续检查下载的ISO文件是否和所给的校验和相匹配。为了达到该目的，只需要运行：

$ sha256sum -c SHA256SUMS 2>&1 | grep OK
ubuntu-18.04.2-live-server-amd64.iso: OK

假如校验和是匹配的，你将看到OK字样，这意味着下载的文件是合法的，没有被改变或篡改过。

假如你没有获得类似的输出，或者看到不同的输出，则该ISO文件可能已经被修改过或者没有被正确地下载。你必须从一个更好的下载源重新下载该文件。

某些Linux发行版已经在它的下载页面中包含了校验和。例如Pop!_os的开发者在他们的下载页面中提供了所有ISO镜像的SHA-256校验和，这样你就可以快速地验证这些ISO镜像。


Popos位于其下载页面中的SHA256校验和

在下载完ISO镜像文件后，可以使用下面的命令来验证它们：

$ sha256sum Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso

示例输出如下：

680e1aa5a76c86843750e8120e2e50c2787973343430956b5cbe275d3ec228a6 Soft_backup/ISOs/pop-os_18.04_amd64_intel_54.iso

Popos的SHA256校验和的值

在上面的输出中，以680elaa开头的部分为SHA-256校验和的值。请将该值与位于下载页面中提供的SHA-256校验和的值进行比较，如果这两个值相同，那说明这个下载的ISO文件是合法的，与它的原有状态相比没有经过更改或者篡改。万事俱备，你可以进行下一步了！

以上就是关于千锋扣丁学堂Linux培训之如何验证ISO镜像的全部内容，想要了解更多关于Linux开发方面内容的小伙伴，请关注扣丁学堂Linux培训官网、微信等平台，扣丁学堂IT职业在线学习教育有专业的Linux讲师为您指导，此外扣丁学堂老师精心推出的Linux视频教程定能让你快速掌握Linux从入门到精通开发实战技能。扣丁学堂Linux技术交流群：422345477。

                          

      【关注微信公众号获取更多学习资料】         【扫码进入Python全栈开发免费公开课】