上个月，LinuxMint的网站遭到黑客攻击，修改后的ISO被提交下载，其中包括一个后门。虽然这个问题很快就解决了，但它说明了在运行和安装下载的Linux ISO文件之前检查它们的重要性。下面是方法。

Linux发行版发布校验和，这样您就可以确认下载的文件是它们声称的文件，而且这些文件通常是经过签名的，这样您就可以验证校验和本身没有被篡改。如果您从主站点以外的其他地方下载ISO（如第三方镜像）或通过BItTorrent（人们更容易篡改文件）下载，这一点尤其有用。

这个过程是如何工作的

检查ISO的过程有点复杂，因此在我们进入确切的步骤之前，让我们确切地解释一下该过程需要什么：

1. 您将像往常一样从Linux发行版的网站或其他地方下载Linux ISO文件。
2. 您将从Linux发行版的网站下载校验和及其数字签名。这可能是两个单独的TXT文件，或者您可能会得到一个包含两个数据段的TXT文件。
3. 您将获得一个属于Linux发行版的公共PGP密钥。您可以从Linux发行版的网站或由同一个人管理的单独的密钥服务器上获得此信息，具体取决于您的Linux发行版。
4. 您将使用PGP密钥来验证校验和的数字签名是否是由**该密钥的同一个人创建的，在本例中是该Linux发行版的维护人员。这证实了校验和本身没有被篡改。
5. 您将生成下载的ISO文件的校验和，并验证它是否与下载的校验和TXT文件匹配。这将确认ISO文件没有被篡改或损坏。

对于不同的iso，这个过程可能有点不同，但它通常遵循一般的模式。例如，有几种不同类型的校验和。传统上，MD5总和是最受欢迎的。然而，现代Linux发行版现在更经常使用SHA-256和，因为SHA-256更能抵抗理论上的攻击。我们将在这里主要讨论SHA-256和，尽管类似的过程也适用于MD5和。一些Linux发行版也可能提供SHA-1总数，尽管这更不常见。

类似地，有些发行版不使用PGP对其校验和进行签名。您只需要执行步骤1、2和5，但该过程更容易受到攻击。毕竟，如果攻击者可以替换ISO文件进行下载，那么他们也可以替换校验和。

使用PGP更安全，但不是万无一失的。攻击者仍然可以用自己的公钥替换该公钥，他们仍然可以诱使您认为ISO是合法的。但是，如果公钥托管在不同的服务器上（就像LinuxMint一样），这种情况就不太可能了（因为他们必须攻击两台服务器而不是一台）。但是如果公钥与ISO和checksum存储在同一台服务器上，就像某些发行版一样，那么它就不能提供那么多的安全性。

不过，如果您尝试验证校验和文件上的PGP签名，然后用该校验和验证您的下载，那么作为下载Linux ISO的最终用户，您可以合理地做到这一点。你仍然比那些不打扰你的人更安全。

如何在linux上验证校验和

这里我们将使用LinuxMint作为一个例子，但是您可能需要搜索Linux发行版的网站来找到它提供的验证选项。对于LinuxMint，在其下载镜像上随ISO下载一起提供了两个文件。下载ISO，然后下载“sha256sum.txt文件“和”sha256sum.txt.gpg文件“文件到您的计算机。右键单击文件并选择“保存链接为”下载它们。

在Linux桌面上，打开一个终端窗口并下载PGP密钥。在本例中，linuxmint的PGP密钥托管在Ubuntu的密钥服务器上，我们必须运行以下命令才能获得它。

Linux发行版的网站将为您指明所需的密钥。

我们现在拥有了所需的一切：ISO、校验和文件、校验和的数字签名文件和PGP密钥。下一步，切换到他们下载到的文件夹…

…并运行以下命令检查校验和文件的签名：

如果GPG命令让您知道下载的sha256sum.txt文件文件有“好签名”，可以继续。在下面截图的第四行，GPG告诉我们这是一个“好的签名”，声称与Linux Mint的创建者Clement Lefebvre有关。

不要担心密钥没有经过“可信签名”的认证。这是因为PGP加密的工作方式—您没有通过从可信的人导入密钥来建立信任网。这种错误很常见。

最后，现在我们知道校验和是由Linux Mint维护人员创建的，运行以下命令从下载的.iso文件生成校验和，并将其与下载的校验和TXT文件进行比较：

如果您只下载了一个ISO文件，您将看到许多“no-such-file or-directory”消息，但是如果您下载的文件与校验和匹配，您应该会看到一条“OK”消息。

也可以直接在.iso文件上运行校验和命令。它将检查.iso文件并输出其校验和。然后，您可以通过用眼睛查看两者来检查它是否匹配有效的校验和。

例如，要获取ISO文件的SHA-256和：

或者，如果您有md5sum值并且需要获取文件的md5sum：

将结果与校验和TXT文件进行比较，看它们是否匹配。

如何在windows上验证校验和

如果您是从Windows机器下载Linux-ISO，您也可以在那里验证校验和——尽管Windows没有内置必要的软件。因此，您需要下载并安装开源Gpg4win工具。

找到Linux发行版的签名密钥文件和校验和文件。我们将以软呢帽为例。Fedora的网站提供校验和下载，并告诉我们可以从https://getfedora.org/static/fedora.gpg。

下载这些文件后，需要使用Gpg4win附带的Kleopatra程序安装签名密钥。启动Kleopatra，然后单击文件>导入证书。选择下载的.gpg文件。

现在可以检查下载的校验和文件是否与导入的密钥文件之一签名。为此，请单击“文件”>“解密/验证文件”。选择下载的校验和文件。取消选中“输入文件是分离的签名”选项，然后单击“解密/验证”

如果这样做，您肯定会看到一条错误消息，因为您没有经历确认那些Fedora证书实际上是合法的麻烦。那是一项更困难的任务。这就是PGP的设计工作方式——例如，你亲自遇到并交换密钥，然后拼凑一张信任网。大多数人不是这样用的。

但是，您可以查看更多详细信息并确认校验和文件是用您导入的密钥之一签名的。无论如何，这比仅仅信任下载的ISO文件而不检查要好得多。

现在，您应该能够选择“文件”>“验证校验和文件”，并确认校验和文件中的信息与下载的.iso文件匹配。然而，这对我们来说并不适用——也许这只是Fedora的校验和文件的布局方式。当我们用LinuxMint的sha256尝试这个的时候sum.txt文件文件，确实有用。

如果这不适用于您选择的Linux发行版，这里有一个解决方法。首先，单击设置>配置Kleopatra。选择“Crypto Operati***”，选择“File Operati***”，并将Kleopatra设置为使用“sha256sum”校验和程序，因为这就是生成这个特定校验和的原因。如果您有MD5校验和，请在此处的列表中选择“md5sum”。

现在，单击文件>创建校验和文件并选择下载的ISO文件。Kleopatra将从下载的.iso文件生成校验和，并将其保存到新文件中。

您可以在文本编辑器（如记事本）中打开这两个文件—下载的校验和文件和刚刚生成的校验和文件。用自己的眼睛确认两者的校验和是相同的。如果是相同的，你已经确认你下载的ISO文件没有被篡改。

这些验证方法最初不是为了防止恶意软件。它们的目的是确认您的ISO文件下载正确，并且在下载过程中没有损坏，因此您可以烧录并使用它而不用担心。它们不是一个完全万无一失的解决方案，因为您必须信任您下载的PGP密钥。然而，这仍然比仅仅使用ISO文件而不检查它提供了更多的保证。

图片来源：Eduardo Quagliato在Flickr上