在Linux中验证ISO文件的初学者指南

这是一个简单的指南，演示了在Ubuntu和其他Linux发行版中验证ISO文件的过程。

从互联网下载操作系统映像文件或软件有时会带来安全风险，因为恶意行为者可能会损坏或修改文件。为了确保下载文件的真实性和完整性，有必要对其进行验证。在这份初学者指南中，我们将指导您在Linux中验证ISO文件。

什么是ISO文件？

ISO文件通常用于创建可引导介质、安装软件和创建备份。ISO文件包含压缩格式的所有原始应用程序/光盘数据，因此可以通过Internet轻松下载和共享。

例如，如果您下载Ubuntu桌面、服务器或任何其他Linux操作系统，您肯定遇到过扩展名为.iso的文件。它也用于应用程序或其他操作系统，如Windows。

为什么要验证ISO文件？

验证ISO文件对于确保下载的文件是真实的且未被修改至关重要。修改后的ISO文件可能包含可能危害您的系统的恶意软件或病毒。验证ISO文件可确保下载的文件与开发人员创建的文件相同，并且未被篡改。

例如，几年前Linux Mint服务器被黑客攻击官方的ISO文件也被修改了。既然你是从官方网站下载的，你可能会认为这些文件是真的。但他们可能不会。

因此，在将ISO文件安装到您的笔记本电脑/台式机上之前，务必对其进行验证。

在Linux下验证ISO文件的方法

在Linux中有两种常用的方法来验证ISO文件：

使用SHA-256校验和

使用GPG签名

使用SHA-256校验和

SHA-256是一个加密哈希函数，它为文件生成唯一的哈希值。校验和是对文件应用SHA-256算法的结果。校验和是唯一的字符串，可用于验证文件的完整性。

要使用SHA-256校验和验证ISO文件，请从开发人员的网站下载SHA-256校验和。SHA-256校验和文件将包含ISO文件的校验和值。您需要生成下载的ISO文件的校验和值，并将其与SHA-256校验和文件中的校验和值进行比较。如果这两个值匹配，则下载的ISO文件是可信的且未被修改。

使用GPG签名

GPG(GNU Privacy Guard)是一款可用于签名和验证文件的加密软件。GPG签名是一种数字签名，可确保文件的真实性和完整性。开发人员使用他们的私钥对ISO文件进行签名，用户使用开发人员的公钥验证签名。

要使用GPG签名验证ISO文件，您需要从开发商的网站下载GPG签名文件。GPG签名文件将包含开发商的公钥和ISO文件的签名。您需要导入开发人员的公钥，下载ISO文件和GPG签名文件，并使用开发人员的公钥验证ISO文件的签名。如果签名有效，则ISO文件是可信的且未被修改。

如何在Linux中验证ISO文件：示例

让我们来看看在Linux中使用SHA-256校验和和GPG签名验证ISO文件的上述方法的一些例子。

使用SHA-256校验和验证ISO文件

。

此外，我还下载了包含ISO文件的校验和的SHA-256文本文件(见上图)。

现在，打开一个终端，转到ISO和SHA-256校验和文件所在的目录。

在终端使用sha256sum命令生成ISO文件的SHA-256校验和值。例如，要生成上述名为linuxmint-21.1-cinnamon-64bit.iso的ISO文件的校验和值，请运行以下命令：

Sha256sum linuxmint-21.1-Cinnamon-64bit.iso

将生成的校验和值与SHA-256校验和文件中的校验和值进行比较。如果这两个值匹配，则ISO文件是可信的且未被修改。

以下是上述ISO文件的并列比较。