上個月，LinuxMint的網站遭到駭客攻擊，修改後的ISO被提交下載，其中包括一個後門。雖然這個問題很快就解決了，但它說明了在執行和安裝下載的Linux ISO檔案之前檢查它們的重要性。下面是方法。

Linux發行版釋出校驗和，這樣您就可以確認下載的檔案是它們聲稱的檔案，而且這些檔案通常是經過簽名的，這樣您就可以驗證校驗和本身沒有被篡改。如果您從主站點以外的其他地方下載ISO（如第三方映象）或透過BItTorrent（人們更容易篡改檔案）下載，這一點尤其有用。

這個過程是如何工作的

檢查ISO的過程有點複雜，因此在我們進入確切的步驟之前，讓我們確切地解釋一下該過程需要什麼：

1. 您將像往常一樣從Linux發行版的網站或其他地方下載Linux ISO檔案。
2. 您將從Linux發行版的網站下載校驗和及其數字簽名。這可能是兩個單獨的TXT檔案，或者您可能會得到一個包含兩個資料段的TXT檔案。
3. 您將獲得一個屬於Linux發行版的公共PGP金鑰。您可以從Linux發行版的網站或由同一個人管理的單獨的金鑰伺服器上獲得此資訊，具體取決於您的Linux發行版。
4. 您將使用PGP金鑰來驗證校驗和的數字簽名是否是由**該金鑰的同一個人建立的，在本例中是該Linux發行版的維護人員。這證實了校驗和本身沒有被篡改。
5. 您將生成下載的ISO檔案的校驗和，並驗證它是否與下載的校驗和TXT檔案匹配。這將確認ISO檔案沒有被篡改或損壞。

對於不同的iso，這個過程可能有點不同，但它通常遵循一般的模式。例如，有幾種不同型別的校驗和。傳統上，MD5總和是最受歡迎的。然而，現代Linux發行版現在更經常使用SHA-256和，因為SHA-256更能抵抗理論上的攻擊。我們將在這裡主要討論SHA-256和，儘管類似的過程也適用於MD5和。一些Linux發行版也可能提供SHA-1總數，儘管這更不常見。

類似地，有些發行版不使用PGP對其校驗和進行簽名。您只需要執行步驟1、2和5，但該過程更容易受到攻擊。畢竟，如果攻擊者可以替換ISO檔案進行下載，那麼他們也可以替換校驗和。

使用PGP更安全，但不是萬無一失的。攻擊者仍然可以用自己的公鑰替換該公鑰，他們仍然可以誘使您認為ISO是合法的。但是，如果公鑰託管在不同的伺服器上（就像LinuxMint一樣），這種情況就不太可能了（因為他們必須攻擊兩臺伺服器而不是一臺）。但是如果公鑰與ISO和checksum儲存在同一臺伺服器上，就像某些發行版一樣，那麼它就不能提供那麼多的安全性。

不過，如果您嘗試驗證校驗和檔案上的PGP簽名，然後用該校驗和驗證您的下載，那麼作為下載Linux ISO的終端使用者，您可以合理地做到這一點。你仍然比那些不打擾你的人更安全。

如何在linux上驗證校驗和

這裡我們將使用LinuxMint作為一個例子，但是您可能需要搜尋Linux發行版的網站來找到它提供的驗證選項。對於LinuxMint，在其下載映象上隨ISO下載一起提供了兩個檔案。下載ISO，然後下載“sha256sum.txt檔案“和”sha256sum.txt.gpg檔案“檔案到您的計算機。右鍵單擊檔案並選擇“儲存連結為”下載它們。

在Linux桌面上，開啟一個終端視窗並下載PGP金鑰。在本例中，linuxmint的PGP金鑰託管在Ubuntu的金鑰伺服器上，我們必須執行以下命令才能獲得它。

Linux發行版的網站將為您指明所需的金鑰。

我們現在擁有了所需的一切：ISO、校驗和檔案、校驗和的數字簽名檔案和PGP金鑰。下一步，切換到他們下載到的資料夾…

…並執行以下命令檢查校驗和檔案的簽名：

如果GPG命令讓您知道下載的sha256sum.txt檔案檔案有“好籤名”，可以繼續。在下面截圖的第四行，GPG告訴我們這是一個“好的簽名”，聲稱與Linux Mint的建立者Clement Lefebvre有關。

不要擔心金鑰沒有經過“可信簽名”的認證。這是因為PGP加密的工作方式—您沒有透過從可信的人匯入金鑰來建立信任網。這種錯誤很常見。

最後，現在我們知道校驗和是由Linux Mint維護人員建立的，執行以下命令從下載的.iso檔案生成校驗和，並將其與下載的校驗和TXT檔案進行比較：

如果您只下載了一個ISO檔案，您將看到許多“no-such-file or-directory”訊息，但是如果您下載的檔案與校驗和匹配，您應該會看到一條“OK”訊息。

也可以直接在.iso檔案上執行校驗和命令。它將檢查.iso檔案並輸出其校驗和。然後，您可以透過用眼睛檢視兩者來檢查它是否匹配有效的校驗和。

例如，要獲取ISO檔案的SHA-256和：

或者，如果您有md5sum值並且需要獲取檔案的md5sum：

將結果與校驗和TXT檔案進行比較，看它們是否匹配。

如何在windows上驗證校驗和

如果您是從Windows機器下載Linux-ISO，您也可以在那裡驗證校驗和——儘管Windows沒有內建必要的軟體。因此，您需要下載並安裝開源Gpg4win工具。

找到Linux發行版的簽名金鑰檔案和校驗和檔案。我們將以軟呢帽為例。Fedora的網站提供校驗和下載，並告訴我們可以從https://getfedora.org/static/fedora.gpg。

下載這些檔案後，需要使用Gpg4win附帶的Kleopatra程式安裝簽名金鑰。啟動Kleopatra，然後單擊檔案>匯入證書。選擇下載的.gpg檔案。

現在可以檢查下載的校驗和檔案是否與匯入的金鑰檔案之一簽名。為此，請單擊“檔案”>“解密/驗證檔案”。選擇下載的校驗和檔案。取消選中“輸入檔案是分離的簽名”選項，然後單擊“解密/驗證”

如果這樣做，您肯定會看到一條錯誤訊息，因為您沒有經歷確認那些Fedora證書實際上是合法的麻煩。那是一項更困難的任務。這就是PGP的設計工作方式——例如，你親自遇到並交換金鑰，然後拼湊一張信任網。大多數人不是這樣用的。

但是，您可以檢視更多詳細資訊並確認校驗和檔案是用您匯入的金鑰之一簽名的。無論如何，這比僅僅信任下載的ISO檔案而不檢查要好得多。

現在，您應該能夠選擇“檔案”>“驗證校驗和檔案”，並確認校驗和檔案中的資訊與下載的.iso檔案匹配。然而，這對我們來說並不適用——也許這只是Fedora的校驗和檔案的佈局方式。當我們用LinuxMint的sha256嘗試這個的時候sum.txt檔案檔案，確實有用。

如果這不適用於您選擇的Linux發行版，這裡有一個解決方法。首先，單擊設定>配置Kleopatra。選擇“Crypto Operati***”，選擇“File Operati***”，並將Kleopatra設定為使用“sha256sum”校驗和程式，因為這就是生成這個特定校驗和的原因。如果您有MD5校驗和，請在此處的列表中選擇“md5sum”。

現在，單擊檔案>建立校驗和檔案並選擇下載的ISO檔案。Kleopatra將從下載的.iso檔案生成校驗和，並將其儲存到新檔案中。

您可以在文字編輯器（如記事本）中開啟這兩個檔案—下載的校驗和檔案和剛剛生成的校驗和檔案。用自己的眼睛確認兩者的校驗和是相同的。如果是相同的，你已經確認你下載的ISO檔案沒有被篡改。

這些驗證方法最初不是為了防止惡意軟體。它們的目的是確認您的ISO檔案下載正確，並且在下載過程中沒有損壞，因此您可以燒錄並使用它而不用擔心。它們不是一個完全萬無一失的解決方案，因為您必須信任您下載的PGP金鑰。然而，這仍然比僅僅使用ISO檔案而不檢查它提供了更多的保證。

圖片來源：Eduardo Quagliato在Flickr上