在 Linux 中驗證 ISO 文件的初學者指南

這篇簡單指南演示了在 Ubuntu 和其他 Linux 發行版中驗證 ISO 文件過程。

從互聯網下載操作系統鏡像文件或軟體有時會帶來安全風險，因為惡意行為者可能會損壞或修改文件。為保證下載文件的真實性和完整性，需要對其進行校驗。在本初學者指南中，我們將引導你在 Linux 中驗證 ISO 文件。

什麼是 ISO 文件？

ISO 文件通常用於創建可啟動媒體、安裝軟體和創建備份。ISO 文件包含壓縮格式的所有原始應用/光碟數據，可以輕鬆下載並通過互聯網共享。

例如，如果你下載 Ubuntu 桌面、伺服器或任何其他 Linux 操作系統，你一定遇到過擴展名為 .iso 的文件。它還用於應用或其他操作系統，例如 Windows。

為什麼要驗證 ISO 文件？

驗證 ISO 文件對於確保下載的文件真實且未被修改至關重要。修改後的 ISO 文件可能包含可能損害你系統的惡意軟體或病毒。驗證 ISO 文件可確保下載的文件與開發人員創建的文件相同且未被篡改。

例如，幾年前 Linux Mint 伺服器被黑 並且官方 ISO 文件被修改。由於你是從官方網站下載的，你可能會認為這些文件是真實的，但它們不一定是。

因此，在使用 ISO 文件安裝到你的筆記本電腦/台式機之前，始終驗證 ISO 文件非常重要。

在 Linux 中驗證 ISO 文件的方法

Linux 中校驗 ISO 文件的常用方法有兩種：

• 使用 SHA-256 校驗和
• 使用 GPG 簽名

使用 SHA-256 校驗和

SHA-256 是一種加密哈希函數，可為文件生成唯一的哈希值。校驗和是將 SHA-256 演算法應用於文件的結果。校驗和是一個唯一的字元串，可用於驗證文件的完整性。

要使用 SHA-256 校驗和驗證 ISO 文件，請從開發者網站下載 SHA-256 校驗和。SHA-256 校驗和文件將包含 ISO 文件的校驗和值。你需要生成下載的 ISO 文件的校驗和值，並將其與 SHA-256 校驗和文件中的校驗和值進行比較。如果兩個值匹配，則下載的 ISO 文件是真實的且未被修改。

使用 GPG 簽名

GPG（GNU Privacy Guard）是一種加密軟體，可用於對文件進行簽名和驗證。GPG 簽名是一種數字簽名，可確保文件的真實性和完整性。開發者使用他們的私鑰簽署 ISO 文件，用戶使用開發者的公鑰驗證簽名。

要使用 GPG 簽名驗證 ISO 文件，你需要從開發者網站下載 GPG 簽名文件。GPG 簽名文件將包含開發者的公鑰和 ISO 文件的簽名。你需要導入開發者公鑰，下載 ISO 文件和 GPG 簽名文件，並使用開發者公鑰對 ISO 文件進行簽名驗證。如果簽名有效，則 ISO 文件是真實的並且未被修改。

如何在 Linux 中驗證 ISO 文件：示例

讓我們看一下上述在 Linux 中使用 SHA-256 校驗和及 GPG 簽名驗證 ISO 文件的方法的一些示例。

使用 SHA-256 校驗和驗證 ISO 文件

• 我已經從 官方網站 下載了 Linux Mint 21.1 ISO 文件。
• 此外，我還下載了包含 ISO 文件校驗和的 SHA-256 文本文件（見上圖）。
• 現在，打開終端並轉到 ISO 和 SHA-256 校驗和文件所在的目錄。
• 在終端中使用 sha256sum 命令生成 ISO 文件的 SHA-256 校驗和值。例如，要生成上述名為 linuxmint-21.1-cinnamon-64bit.iso 的 ISO 文件的校驗和值，請運行以下命令：

sha256sum linuxmint-21.1-cinnamon-64bit.iso

• 將生成的校驗和值與 SHA-256 校驗和文件中的校驗和值進行比較。如果兩個值匹配，則 ISO 文件是真實的並且未被修改。
• 這是上述 ISO 文件的並排比較。

如果校驗和匹配，你可以確信該文件是真實的並且沒有被篡改。你可以對任何其他 ISO 文件和校驗和使用相同的命令進行驗證。

現在，讓我們看看如何使用 GPG 密鑰進行驗證。

使用 GPG 簽名驗證 ISO 文件

對於上面的示例，我已經從官方網站下載了 .gpg 文件和 ISO 文件。

下一步是下載並導入開發者的公鑰。你可以從開發者的網站或密鑰伺服器下載公鑰。

我使用下面的命令為這個例子下載了 Linux Mint 的公鑰。因此，對於相應 Linux 發行版文件的 ISO 文件，請查看下載頁面以找出公鑰。

gpg --keyserver hkp://keyserver.ubuntu.com:80 --recv-key "27DE B156 44C6 B3CF 3BD7 D291 300F 846B A25B AE09"

注意：你還可以下載公鑰 .asc 文件（如果有），然後使用命令 gpg --import developer_key_file.asc 將其導入你的系統。

完成後，運行下面的 gpg 命令來驗證文件。

gpg --verify sha256sum.txt.gpg sha256sum.txt

如果文件是真實的，你應該會在上述命令的輸出中看到 「Good signature」 消息。此外，你可以匹配公鑰的最後 8 個位元組。「Warning」 是一條通用消息，你可以忽略它。

總結

驗證 ISO 文件是確保下載文件的真實性和完整性的重要步驟。在本初學者指南中，我介紹了在 Linux 中使用 SHA-256 校驗和和 GPG 簽名驗證 ISO 文件的方法和步驟。通過執行這些步驟，你可以自信地下載和使用 ISO 文件，知道它們沒有被修改並且可以安全使用。

請記住，即使你是從官方網站下載的，在你驗證之前你永遠不會知道 ISO 文件是否真實。因此，請將此作為最佳實踐。

參考信息

（題圖：MJ/iso cd image illustration in high resolution, very detailed, 8k）

via: https://www.debugpoint.com/verify-iso-files-linux/

作者：Arindam 選題：lkxed 譯者：geekpi 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive