如何验证下载的 Ubuntu ISO 映像校验和
在本教程中,您将学习如何验证下载的 Ubuntu ISO 映像的真实性。目的是确保 Ubuntu 下载的 ISO 没有被篡改、没有以某种方式损坏并且没有恶意软件。
在本教程中您将学习:
如何获取正确的签名密钥
如何导入正确的签名密钥
如何验证校验和文件的内容
如何验证下载的 Ubuntu ISO 映像校验和
如何验证下载的 Ubuntu ISO 映像校验和
如何验证下载的 Ubuntu ISO 映像校验和分步说明
第一步是下载 Ubuntu ISO 映像。您很可能已经完成了此步骤。在本教程中,我们将使用并下载 Ubuntu 20.04 ISO 映像。在继续下一步之前,您应该有可用的 Ubuntu ISO 映像。例子:
$ ls focal-desktop-amd64.iso从您下载实际 ISO 映像的同一 Ubuntu 服务器位置,您还需要下载相关的
SHA256SUMS校验和和SHA256SUMS.gpg签名文件。您知道吗?
您可以使用SHA1SUMS或SHA256SUMS或MD5SUM验证 Ubuntu ISO 映像校验和代码>消息摘要。这些验证方法中的任何一种都是有效的,您应该选择最适合您需要的一种。三者的验证方法程序相同。
可用的
SHA256SUMS校验和和SHA256SUMS.gpg签名文件以及实际的 Ubuntu ISO 映像。准备就绪后,您的目录内容在此阶段应包含以下文件:
$ ls focal-desktop-amd64.iso SHA256SUMS SHA256SUMS.gpg接下来,我们需要获取正确的签名密钥,以验证
SHA1SUMS校验和文件的内容。为此,请执行以下gpg命令:$ gpg --verify SHA256SUMS.gpg SHA256SUMS gpg: Signature made Mon 09 Mar 2020 18:58:10 AEDT gpg: using RSA key D94AA3F0EFE21092 gpg: Can't check signature: No public key上面的输出表明使用的签名密钥是
D94AA3F0EFE21092并且我们的系统当前没有可用的密钥。要导入缺少的签名密钥,请运行:$ gpg --keyserver hkp://keyserver.ubuntu.com --recv-keys D94AA3F0EFE21092 gpg: key D94AA3F0EFE21092: public key "Ubuntu CD Image Automatic Signing Key (2012)导入
Ubuntu CD 映像自动签名密钥后,我们就可以验证SHA1SUMS校验和文件的内容:$ gpg --verify SHA256SUMS.gpg SHA256SUMS gpg: Signature made Mon 09 Mar 2020 18:58:10 AEDT gpg: using RSA key D94AA3F0EFE21092 gpg: Good signature from "Ubuntu CD Image Automatic Signing Key (2012)
$ sha256sum -c SHA256SUMS
focal-desktop-amd64.iso: OK
或者,您可以先简单地生成校验和,然后手动将输出与校验和文件的内容进行比较。两个校验和应该匹配:
$ sha256sum focal-desktop-amd64.iso
8807ddb1927e341c97031c20da88368276be4e3601c31846db41e32cb44027ef focal-desktop-amd64.iso
$ cat SHA256SUMS
8807ddb1927e341c97031c20da88368276be4e3601c31846db41e32cb44027ef *focal-desktop-amd64.iso